Skocz do linków, Skocz do treści

Za krótkie – źle, za długie – też źle

16 lutego 2006 21:08. Autor: Robert Drózd. 9 komentarzy

Ciąg dalszy mojego narzekania na serwisy, które mają dziwne reguły dotyczące haseł.

Nie dziwi nas jako użytkowników zasada minimalnej długości hasła. Wiadomo, że hasła krótsze to większe ryzyko złamania metodą „brute force”. Choć nie będąc specjalistą od bezpieczeństwa, nie wiem jak często taką metodę wybierają włamywacze.

Rejestrując się dzisiaj w serwisie iTVP natrafiłem na zasadę zgoła odmienną.

ITVP żąda hasła o długości od 5 do 8 znaków

Tak, hasło musi mieć więcej niż 5 i mniej niż 8 znaków.

Co mogło skłonić projektantów iTVP do ograniczenia maksymalnej długości hasła? Niewiele przychodzi mi do głowy:

  • Długie hasło może być paradoksalnie mniej bezpieczne, bo ludzie je zapisują.
  • „Troska o użytkownika”, aby nie musiał pamiętać za długiego hasła.

Inna sprawa, że co niby takie hasło ma chronić? iTVP wymaga rejestracji głównie po to, by śledzić nasze zachowanie (pomijam ew. personalizację), dlatego nie wiem, kto mógłby chcieć takie hasło łamać.

Ale mimo wszystko, dlaczego takie ograniczenie jest złe? Mało kto wymyśla do kolejnego serwisu nowe hasło. Zwykle mamy pod ręką jakieś hasła gotowe, które po prostu wpisujemy. A co, jeśli takie „podręczne” hasło ma więcej niż 8 liter? Wtedy serwis zmusza nas do główkowania, musimy stworzyć hasło oryginalne, które będzie nam trudniej zapamiętać.

Podobne artykuły:

Być może zainteresują Cię następujące artykuły:

Zapisz się na kanał RSS bloga i dołącz do ponad 1500 czytelników RSS.

Zostań fanem WebAudit na Facebooku.

Komentarze czytelników

Śledź komentarze do tego artykułu: format RSS
  1. Elsindel

    Inne „pomagające” ograniczenia to na przykład:
    – konieczność użycia przynajmniej jednej cyfry w haśle
    – pierwszy znak nie może być cyfrą (tak jest w jednym z systemów, z których korzystasz, gdzie właśnie chciałem takie hasło utworzyć…)
    – można używać niektórych znaków niealfanumerycznych, gdy inne są niedozwolone (sztandarowy przykład to home.pl, gdzie można mieć znak minus w haśle, ale nie można mieć znaku plus).

    Dokładnie to ograniczenie „od X do Y” istnieje też w nbportal.pl, o czym było m. in. tutaj: http://www.elsindel.wroc.pl/blog/2004/11/alfanumeryczny-plus-minus.

    Jest tak wiele innych, często czysto społecznych i organizacyjnych dziur w bezpieczeństwie systemów informatycznych, że wymuszanie pewnej postaci haseł niewiele daje.

    Nie wiem, naprawdę, skąd bierze się przekonanie, że od 5 do 8 znaków czy od 5 do 10 znaków to wystarczający zakres możliwych haseł. A jest to rzecz naprawdę irytująca…

  2. don_jaro

    Mam pewną teorię na ten temat, choć jest ona bardzo teoretyczna i wcale nie musi okazać się prawdziwa.

    Otóż, jak wiadomo, algorytm MD5 został złamany – tzn. możliwe jest wygenerowanie w sensownie krótkim czasie wiadomości o zakładanym skrócie (algorytm nie został ujawniony). Im większą dajemy swobodę użytkownikowi w ustaleniu hasła, tym większy jest zbiór możliwych wiadomości (inaczej: tym więcej unikalnych haseł można wygenerować). A co za tym idzie, zwiększa się szansa, na wystąpienie dwóch (lub więcej) wiadomości posiadających ten sam skrót. Tym samym zwiększa się szansa na wygenerowanie wiadomości nie będącej hasłem, posiadającej taki sam skrót jak hasło.
    Teraz wystarczy więc zdobyć listę skrótów MD5 i algorytm ;)

    Oczywiście, nie sądzę, aby ktokolwiek brał pod uwagę to, co napisałem.
    Bardziej prawdopodobne jest to, że podczas projektowania struktury bazy danych trzeba podjąć decyzję o maksymalnym rozmiarze pola. I każdy wybiera taką długość, jaka wydaje się mu stosowna.

  3. porneL

    Kolizje MD5 nie mają znaczenia dla bezpieczeństwa hasła, a jedynie dla cyfrowych podpisów dokumentów.

    Każdy mający zielone pojęcie programista stosuje „zasolone” hashe, które są odporne na ataki listą wcześniej wygenerowanych par hasłohash.

    Z resztą nikt z zewnątrz nie ma dostępu nawet do hasha.

    Ograniczenie długości czy złożoności hasła jest oczywiście bezsensowne i chyba wymyślone tylko przez manadżera projektu, który chciał łaskawie „ułatwić” życie programistom.

    Zahashować można dowolnie długi i skomplikowany ciąg, a w rezultacie i tak zawsze otrzyma się stałej dłguości ciąg idealny do składowania w bazie.

    Długość to i tak niewielki problem haseł. Gorzej jest jak ktoś używa oczywistych haseł – takich samych jak nazwa użytkownika, imie ulubionego zwierzaka, itp. W takich przypadkach czyjeś hasło nawet da się wygooglać :D

  4. don_jaro

    Jeżeli wziąć pod uwagę to co piszesz, to górna granica długości hasła zupełnie traci rację bytu.

    Być może jest jakiś przesąd? Coś typu „Jak user za długie hasła wpisuje, to system często się psuje”? ;D

  5. Leszek

    Moja teoria:
    1. Zasadę taką wymyślił Project Manager tworzący projekt funkcjonalny serwisu
    2. Nie był przeprowadzony test usability, „bo po co?”
    3. Programista zrobił to co było w projekcie funkcjonalnym, bo „on jest od robienia a nie od myślenia”

    I tyle.

  6. kmarex

    Ja ma haslo typy 63swejun – uwazam ze takiesa dobre, bo trudne do zlamaia i rewelacyje sa take takie pies+kotek.
    Aha i co wazne – nie uzywac wszedzie tego samego hasla!

  7. Patrys

    Rzadko trafiają się takie serwisy, gdzie hasło faktycznie chroni prywatność. Na ogół służy tylko jako zapobieganie złośliwości kolegów — podanie go komuś grozi co najwyżej wypisaniem z jakiegoś forum albo zmianą koloru literek na stronie. Ewentualnie ktoś w naszym imieniu napisze coś na blogu. Dlatego argument o nie używaniu tego samego hasła nie ma racji bytu. Co innego bank, a co innego serwis społeczny.

    Co do iTVP — ja mam taką swoją teorię, że większość zepsutych serwisów (chodzi mi o usability) cierpi na ten problem, że nie korzystają z nich ich autorzy. Krzesło może ładnie wyglądać, ale dopóki nie siądziesz, to nie poczujesz, jak innych dupa boli.

Komentarze z innych blogów

  1. : pawlik » itvp.pl - osiołek

    […] Po znalezieniu osiołka w Onecie przyszedł czas na itvp.pl. W oczekiwaniu na partyjkę W:A zapragnąłem pooglądać curling. I co? Nie dość, że musiałem wpisać hasło od 5 do 8 znaków (wspomniał o tym Robert Drózd) to jeszcze itvp grzecznie mnie poprosił o włączenie IE. Dlaczego?! Dlaczego coraz więcej dużych portali narzuca mi korzystanie z IE? […]

  2. netcoffee.pl/pogodzinach » Blog Archive » Domena z www - nie tw

    […] Takim niepotrzebnym ograniczeniem jest w?a?nie wymaganie wpisywania www lub to o kt?rym pisa? kiedy? Robert Dr?zd: Za kr?tkie – ?le, za d?ugie – te? ?le. […]

Zostaw komentarz

W komentarzu można (choć nie trzeba) używać podstawowych znaczników XHTML. Komentarze zawierające w podpisie słowa kluczowe mogą zostać potraktowane jako spam i usunięte.