Adakah alasan yang baik untuk menetapkan panjang bagian atas atau tidak termasuk karakter dalam kata sandi?
Saya akan membuat perkiraan dan mengatakan bahwa beberapa pembatasan ini disebabkan oleh pemfilteran karakter di situs web mereka ( & < > #
) untuk mencegah peretas. Sementara yang lain adalah ide-ide berkepala dingin yang keluar dari komite bos berambut runcing.
Saya telah menemukan sejumlah keputusan "keamanan" yang benar-benar bodoh (menurut saya). Sebagai contoh, satu perusahaan investasi besar menangani akun IRA saya dan juga pensiun saya. Dalam rangka untuk melakukan setiap kontak dengan pensiun mengharuskan saya untuk mengetikkan password saya di telepon (Anda tidak dapat mencapai mereka sebaliknya). Akun pialang / IRA saya menggunakan huruf (huruf besar dan kecil) serta beberapa tanda baca - tidak ada karakter ini yang muncul di pad nomor telepon. Jika Anda tidak dapat masuk dengan kata sandi melalui telepon, ini memungkinkan Anda mereset kata sandi akun pialang Anda ke sesuatu yang dapat Anda ketik di telepon.
Sistem penggajian saya (untuk perusahaan konsultan tempat saya bekerja) memerlukan angka, dan hanya angka - ini memungkinkan mereka menggunakan basis data yang sama apakah pengguna menelepon (saya belum pernah melakukan ini) atau menggunakan antarmuka web (saya hanya menggunakan ini) .
Yang sedang berkata, sekarang saatnya untuk mengubah kata sandi saya di kantor. Mereka memiliki batasan gila yang saya perkirakan akan memakan waktu sekitar setengah hari untuk menemukan kata sandi yang dapat diterima oleh sistem: setidaknya 2 huruf besar, setidaknya 2 huruf kecil, setidaknya 2 digit (yang tidak dapat +/- 1 dari kata sandi sebelumnya), setidaknya 2 karakter non-alfa / non-numerik, tidak dapat cocok dengan salah satu dari 24 kata sandi terakhir, tidak dapat berisi string apa pun (maju atau mundur) yang terdiri dari kata (panjang 3 atau lebih huruf) dalam bahasa Inggris ( juga beberapa bahasa lain saya tidak punya izin untuk tahu). Saya pikir panjang minimumnya adalah 10-11 karakter.