最大密码长度
问题描述:
NIST准则这里关于NIST准则: https://pages.nist.gov/800-63-3/sp800-63b.html最大密码长度
我一直认为maximum length password requirements are bogus。对于大部分最大长度要求来说,即使对于传统系统和非常老的系统来说,也只是远程的。
但是对于新的,都使用好的散列算法?为什么不完全删除最大长度建议,而不是说应该有64个字符的限制?如果我想在密码字段中输入整个独白,为什么抱怨?
为什么NIST会推荐这个?
答
我想你已经误解了这个要求。从DOC:
5.1.1.2记住秘密验证程序
验证程序应要求订户选择存储秘密的长度至少为8个字符。验证者应该允许用户选择记忆的秘密至少长度为64个字符。
他们说
- 用户必须提供至少8个字符的密码。
- 系统应该能够处理至少64个字符。
他们没有说明最大值。该8是对用户施加的最小值; 64是系统的最低限度。如果你愿意,你可以允许64,000。