ここ英国のテスコでのオンライン食料品の買い物のユーザーアカウントには、6〜10文字のパスワードが必要です。パスワードが10文字に制限されていることに少しイライラしますが(私のパスワードジェネレーターのデフォルトは32文字です)、クレジットカードの詳細を含むユーザーデータを保護するために6文字のパスワードを許可しているという事実が気になります。
6文字のパスワードはセキュリティリスクを表していますか、それとも従うべき良い例ですか?
ここ英国のテスコでのオンライン食料品の買い物のユーザーアカウントには、6〜10文字のパスワードが必要です。パスワードが10文字に制限されていることに少しイライラしますが(私のパスワードジェネレーターのデフォルトは32文字です)、クレジットカードの詳細を含むユーザーデータを保護するために6文字のパスワードを許可しているという事実が気になります。
6文字のパスワードはセキュリティリスクを表していますか、それとも従うべき良い例ですか?
6文字のパスワードは短いですが、おそらく短すぎます。さらに、ハッシュ(またはbcrypt、scrypt、PBKDF2の出力)のみを保存する必要があるため、パスワードの最大サイズを設定しても意味がありません。
とはいえ、パスワードが安全かどうかは、システムがパスワードをどのように処理するかによって異なります。たとえば、PINは通常約4..6桁です。PINがブロックされる前に、銀行ではおそらく3〜5個の誤ったPINエントリしか許可されていないため、それでもかなり安全です。
データへのアクセスを制御するシステムなしでデータを暗号化するためのキーとしてパスワードを使用する場合(盗まれる可能性のあるハードディスクにファイルを暗号化する)、6文字は非常に短いです。暗号化コンテナを安全にするには、完全なパスフレーズと鍵導出スキームが必要になります。
パスワードに大文字、小文字、数字、記号が含まれている場合、オンライン攻撃にはおそらく23年かかり、他の方法(パスワードの紛失、回復方法)を介してパスワードにアクセスする可能性が高くなります。個人的には満足できません。 6文字のパスワード
パスワード強度テスターhttps://www.grc.com/haystack.htm
セキュリティは、ユーザビリティとセキュリティの間のトレードオフです。人々は自分のパスワードを覚えることができるはずですが、それも安全でなければなりません。安全なパスワードを選択するのはユーザーの責任であるため、多くの企業は簡単な方法で短いパスワードを許可しています。私は、平均的なユーザーがこれを処理できるとは思いません。私たちの仕事は、良いパスワードが何であるかについて彼らを敏感にすることです。
10文字の制限は、6文字の制限とほぼ同じリスクを表していると思います。私のパスワード(ランダムに生成されない)は約12〜16文字です。したがって、あなたの場合、たとえ私がパスワードを持っていたとしても、私は良いパスワードを使用することを許可されていません。そのポリシーは、適切なパスワードについて人々を敏感にするという私たちの使命に反しています。
長さ自体について:ブルートフォース攻撃が不可能な場合、6文字のパスワードでセキュリティ要件を満たすことができると思います。(分散システムは、パスワードを解読するための非常に強力な方法と考えてください)。
ウィキペディアの記事には、この問題についてある程度の深みがあるようです。
許可される文字によって異なります。
とにかく、6文字のパスワードは十分に安全ではありません。
このセキュリティ計算機を使用できます:http://daleswanson.org/things/password.htm