mboost-dp1

Banker og sikkerhed WTF


Gå til bund
Gravatar #1 - arne_v
25. jun. 2023 17:47
Jeg kender en som har en bank hvor deres spritnye online banking system har MAX password længde på 15 (og det er altså MAX ikke MIN!!).
Gravatar #2 - Claus Jørgensen
25. jun. 2023 19:10
#1

Det giver ingen mening. Efter salt+hash så er alle passwords samme længde anyway
Gravatar #3 - arne_v
26. jun. 2023 14:33
#2

Ja. Pladsen i databasen er fast længde. Både salt og hash er fastlængde.

Jeg har ikke et problem med at der er en begrænsning. Men 15 er absurd kort idag. 64 eller mere var hvad jeg forventede.

https://cheatsheetseries.owasp.org/cheatsheets/Aut...


Password Length

Minimum length of the passwords should be enforced by the application. Passwords shorter than 8 characters are considered to be weak (NIST SP800-63B).
Maximum password length should not be set too low, as it will prevent users from creating passphrases. A common maximum length is 64 characters due to limitations in certain hashing algorithms, as discussed in the Password Storage Cheat Sheet. It is important to set a maximum password length to prevent long password Denial of Service attacks.

Do not silently truncate passwords. The Password Storage Cheat Sheet provides further guidance on how to handle passwords that are longer than the maximum length.
Allow usage of all characters including unicode and whitespace. There should be no password composition rules limiting the type of characters permitted.


https://cheatsheetseries.owasp.org/cheatsheets/Pas...


Input Limits

bcrypt has a maximum length input length of 72 bytes for most implementations. To protect against this issue, a maximum password length of 72 bytes (or less if the implementation in use has smaller limits) should be enforced when using bcrypt.

Gravatar #4 - NightZtorm
27. jun. 2023 08:26
Skiftede password på PayPal i går.
De har også en max længde på 20...
Gravatar #5 - arne_v
7. jul. 2023 17:52
En bank og Paypal.

Jeg har lige måttet resette mit IBM password. Det jeg bruger til at downloade DB2 drivere og ligende. Og man kunne godt spørge om hvorfor de overhovedet kræver login. Krav til længde af password 12-63.
Gravatar #6 - Fasil
17. jul. 2023 06:05
arne_v (5) skrev:
En bank og Paypal.

Jeg skulle bare nulstille mit IBM password for at spare penge på ny ejendom https://jyllands-posten.dk/direkte/ECE15904629/led... . Hvad bruger jeg til at indlæse DB2-drivere og sådan. Og man kan spørge, hvorfor de overhovedet kræver et login. Krav til adgangskodelængde 12-63.


Det virker usædvanligt, at en moderne bank ville have en begrænsning på 15 tegn for adgangskoder i deres online banking system. Generelt set anbefales det at have længere adgangskoder, da de normalt er mere sikre.

Stærke adgangskoder bør normalt bestå af en kombination af forskellige typer tegn, såsom store og små bogstaver, tal og specialtegn. Jo længere adgangskoden er, desto sværere er det at knække den via brute force eller gætte den gennem almindelige metoder.

Hvis du er bekymret over sikkerheden i forbindelse med denne begrænsning, anbefaler jeg, at du taler med banken direkte for at få yderligere oplysninger om deres sikkerhedsforanstaltninger og hvorfor de har valgt at have en maksimal længde på 15 tegn for adgangskoderne.
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login