למה אתרים מסויימים מגבילים אורך סיסמא בהרשמה?

מהההההההה?

הודעה מבולבלת לגמרי.
וכן, HASH באותו אורך לא משנה מה אורך המחרוזת.
מי שעושה לעצמו חיים קלים זה על חשבון מוצר איכותי. אין מה לעשות. כמו במקרה הזה.
 
למה אתרים מסויימים מגבילים אורך סיסמא בהרשמה?

יש אתרים רבים, לרבות אתרי בנקים בישראל ואתרים אחרים עם מידע רגיש, שמגבילים את אורך הסיסמא.
כשאני רואה כזו הגבלה מיד המחשבה שלי היא שהסיסמא נשמרת CLEAR TEXT בDB שלהם, כי אילו הם היו עושים HASH על הסיסמא מה אכפת להם האורך שלה? הסיבה היחידה שעולה על דעתי היא שהשדה של הסיסמא בDB שלהם מוגבל והם שומרים אותה AS IS, מה שכמובן מאוד מאוד לא מאובטח, בלי HASH ובוודאי בלי SALT.
האם יש סיבה להגביל אורך של סיסמא למעט אם היא נשמרת גלויה?
דבר נוסף שתמיד מתמיה אותי זה שיש אתרים שאוסרים על סימנים מסויימים בסיסמא. לדעתי זה מראה שמתכנני האתרים במקום לסתום היטב כל אפשרות ל־INJECTION בצורה מתאימה על ידי ESCAPING פשוט עשו לעצמם חיים קלים, במקרה כזה החשש שלי הוא שהם פשוט לא יודעים לעבוד כמו שצריך ושיש פרצות ל־INJECTION נוספים לאורך ולרוחב האתר.
 
המחשבה שלך נכונה

בדרך כלל אתרים המגבילים את אורך הסיסמה עובדים עם backend ישן. זה אפילו לא ממש DB כDB. הסיסמה שלך נכנסת ישירות למערכות מידע שלהם שבדרך כלל מבוססת על mainframe עתיק או VMS עתיק לא פחות ועליו חלות כל מיני הגבלות (כמו מספר תווים או אפילו סוגי תווים).
לדוגמה, יש מערכות שעובדות ב7bit, קל לזהות אותם מכיון ששם המשתמש במקרים כאלו תמיד יהיה אותיות גדולות באנגלית וספרות.
וכן, במקרים כאלו מדובר ב Clear text. מכיון שלא מדובר בSQL אלא בפונקציות מוכנות מראש, הסיכוי לsql injection הוא קטן יחסי.
&nbsp
 
אדרבא

זו רק עוד סיבה לשמור סיסמא ב-HASH, ככה אפשר לתת למשתמש לבחור סיסמא מורכבת ולא רק אותיות ומספרים.
ממילא HASH הוא בד"כ רק אותיות ומספרים.
חוץ מזה, תפוז מגבילים אורך וקשה לי להאמין שזו בגלל איזו מגבלה טכנית של ה-DB העקום שלהם. פשוט תכנון לקוי.
 

רוב הזמן נח

Well-known member
למי שכבר שכח, אתר תפוז כבר נפרץ בעבר

ומלא ססמאות ושמות משתמש הופצו.
&nbsp
אחרי שזה קרה, כל מי שרצה להכנס לניק שלו היה צריך לאשר מחדש דרך המייל.
לחלק מהמשתמשים המייל של ההרשמה כבר לא היה פעיל, אז זה יצר בעיות.
&nbsp
 

Y. Welis

New member
סביר שגם חושבים על הלקוח, שלא יוכל לזכור משהו ארוך

מצער שכל האתרים האלה לא עובדים עם תוכנת שמירת סיסמאות (שיכולה גם ליצור אותם).
&nbsp
אולי איזה סטארטאפיסט יעלה על הרעיון - אתר שניתן להירשם אליו ושמכניס אותך בצורה מאובטחת לאתרים שמכירים אותו, עם שם וסיסמה שהוא מייצר עבור הנרשם, לאותם אתרים. כך לא תהיה בעיית אורך סיסמה ועוצמת האבטחה.
&nbsp
הייתי בכלל מעודד תמיכה בהתקני סריקת טביעת-אצבע. ברגע שאתרים מאובטחים יתמכו בהם, גם לא תהיה מגבלת אורך סיסמה.
&nbsp
 
הרשה לי לא לתת לתפוז כזה קרדיט

מעסיקים מתכנתים בלאי אז זה מה שקורה.
&nbsp
חוצמזה, עדיין לא נתקלתי באתר שלא עובד עם ה־LASTPASS שלי.
 
למעלה