למה אתרים מסויימים מגבילים אורך סיסמא בהרשמה?
יש אתרים רבים, לרבות אתרי בנקים בישראל ואתרים אחרים עם מידע רגיש, שמגבילים את אורך הסיסמא.
כשאני רואה כזו הגבלה מיד המחשבה שלי היא שהסיסמא נשמרת CLEAR TEXT בDB שלהם, כי אילו הם היו עושים HASH על הסיסמא מה אכפת להם האורך שלה? הסיבה היחידה שעולה על דעתי היא שהשדה של הסיסמא בDB שלהם מוגבל והם שומרים אותה AS IS, מה שכמובן מאוד מאוד לא מאובטח, בלי HASH ובוודאי בלי SALT.
האם יש סיבה להגביל אורך של סיסמא למעט אם היא נשמרת גלויה?
דבר נוסף שתמיד מתמיה אותי זה שיש אתרים שאוסרים על סימנים מסויימים בסיסמא. לדעתי זה מראה שמתכנני האתרים במקום לסתום היטב כל אפשרות ל־INJECTION בצורה מתאימה על ידי ESCAPING פשוט עשו לעצמם חיים קלים, במקרה כזה החשש שלי הוא שהם פשוט לא יודעים לעבוד כמו שצריך ושיש פרצות ל־INJECTION נוספים לאורך ולרוחב האתר.