我看到很多高调的网站和网络应用程序,这些网站和网络应用程序对密码看起来有些荒谬的限制。是否有合法的理由对密码进行字符限制?更具体地说,常见的(如in,[shift] + [number key])标准ASCII单字节字符?非常小的长度要求(5 - 8个字符)呢?密码的字符/长度限制?
我能想到的唯一技术原因是密码是以纯文本而不是至少以某种方式被混淆/散列存储的。还有没有其他不太令人震惊的理由我没有考虑过?
注:我希望有一些客观的答案,并希望避免陷入这个主题的主观方面的诱惑。我更感兴趣的是真正的/具体的技术原因,为什么这样的限制是必要的。
有一对夫妇或security.se [1](HTTP相关的问题://安全。 stackexchange.com/questions/1534/why-do-some-websites-and-programs-restrict-password-characteristics)[2](http://security.stackexchange.com/questions/6287/should-i-have- a-maximum-password-length)[3](http://security.stackexchange.com/questions/22884/my-credit-union-is-reducing-its-maximum-password-length-to-10-characters) – CodesInChaos
我唯一可以看到的密码长度限制是有道理的,当密码被用于“请给我们字符5的密码”样式的问题 - 你必须分别散列每个字符,所以搜索空间会被sev完全受限制。但对于这样的系统,我通常会推荐两个单独的密码 - 一个是散列,另一个用于位置问题 –