আমি বেশ কয়েকটি সাইট জুড়ে এসেছি যা হয় হয় পাসওয়ার্ডগুলিকে পাসওয়ার্ড করার অনুমতি দেয় এবং / অথবা নির্দিষ্ট অক্ষরগুলি অস্বীকার করে allow আমি আমার পাসওয়ার্ডের অনুসন্ধানের স্থানটি প্রশস্ত করতে এবং দীর্ঘ করতে চাইলে এটি আমার কাছে সীমাবদ্ধ। এটি আমাকে একটি অস্বস্তিকর অনুভূতি দেয় যা তারা সম্ভবত হ্যাশ করছে না।

সেখানে আছেন ভাল পারেন একটি ঊর্ধ্ব দৈর্ঘ্য সেটিং বা পাসওয়ার্ড অক্ষর ব্যতীত কারণ কী?

না

কোন ভাল কারণ আছে।

সম্পাদনা: আমি প্রমাণ করতে পারি না যে কোনও ভাল কারণ নেই, কারণ কেউ নেতিবাচক প্রমাণ করতে পারে না। আমি এর কোনও ভাল কারণ নিয়ে ভাবতে পারি না - অন্যরা যেমন বলেছে যে হ্যাশ ইনপুটটির আকার নির্বিশেষে একই আকারে হবে এবং বৈধ অক্ষর (প্রশ্নের প্রেক্ষাপট থেকে) বাদ দিয়ে কেবল রাষ্ট্র-স্থান হ্রাস করে। উত্তরটি তার মুখের উপর সুস্পষ্ট বলে মনে হচ্ছে: কোনও ভাল কারণ নেই। বেশিরভাগ কারণ থাকতে পারে যা ভাল লাগছে বা এটি ভাল বলে মনে হচ্ছে, তবে তা তা নয়। যদি সেগুলি থাকত তবে কেউ তাদের এখানে ইতিমধ্যে পোস্ট করত, বা এখানে না থাকলে অবশ্যই সিকিউরিটি.স্ট্যাকেক্সেঞ্জ ডটকম এ, এবং এই উত্তরটি এত বেশি ভারী করা হত না।

দৈর্ঘ্য সীমাবদ্ধ করা হ্যাশিংয়ের সঞ্চালনের সময় সীমাবদ্ধ করার পাশাপাশি ব্যান্ডউইথকে সীমাবদ্ধ করার একটি পরিমাপ হতে পারে (এবং এটি উভয়ই সত্যিই প্রান্তিক)। তা ছাড়া বিশেষ কোনও সুরক্ষার দৃষ্টিকোণ থেকে কোনও ভাল কারণ নেই।

কেউ বলতে পারেন: "লোকেরা আরও সহজে পাসওয়ার্ডগুলি আরও সহজে ভুলে যাবে" - তবে এটি সত্যিই একটি মূ .় বক্তব্য এবং এগুলি মোটেও আসে না।

চরিত্রগুলি হিসাবে, যতক্ষণ আপনি ভবিষ্যতে ডেটা ট্রান্সফার এবং / অথবা মাইগ্রেশন সম্পর্কিত সম্ভাব্য এনকোডিংয়ের বিষয়ে সচেতন হন (উদাহরণস্বরূপ আপনি 2 বছরের মধ্যে ASCII থেকে UTF-8 এ চলে যাবেন) আরও অক্ষর কেবল পাসওয়ার্ডের শক্তির জন্যই ভাল হতে পারে।

হ্যাঁ , বিশেষ চরিত্রের কারণ রয়েছে।

সুরক্ষার সাথে সম্পর্কিত না হয়ে বিশেষ অক্ষরগুলিকে অস্বীকার করা একটি ব্যবহারযোগ্য জিনিস। প্রথমত তারা এনকোডিংয়ের সমস্যায় জড়িয়ে পড়তে পারে। দ্বিতীয়ত, আপনি সর্বদা একই এনকোডিং ব্যবহারের গ্যারান্টি দিলেও, ইনপুট ডিভাইসের সমস্যা এখনও আছে। আপনি একই কীবোর্ড লেআউট সহ পুরো কীবোর্ড (যা বেশিরভাগ মোবাইল ডিভাইসগুলি সরিয়ে দেয়) রাখার উপর নির্ভরশীল। পরে কেবল ভাষার মধ্যেই নয়, ওএস, উইন্ডোজ, লিনাক্স এবং ওএসএক্সের জন্য লেআউটগুলির মধ্যে কিছুটা আলাদা হতে পারে। তাই আমি ভালো কারণ দেখতে মত পাসওয়ার্ড অনুমতি না: √Ω≈ç∫∞§…¬å∑±।

কয়েক বছর আগে নিরাপত্তার জগতে কিছুটা বিতর্ক হয়েছিল যখন চেজ গ্রাহকরা আবিষ্কার করেছিলেন যে তাদের পাসওয়ার্ডগুলি সংবেদনশীল নয়। এটি দেখা গেল যে তাদের ওয়েবপৃষ্ঠাটি প্রায় 30 বছরের পুরানো ওএস / 400 ব্যাকএন্ড সিস্টেমে একটি সীমারেখা ছিল, যার প্রযুক্তিগত সীমাবদ্ধতা ছিল যা এটি কেসটিকে উপেক্ষা করে। এটি ঠিক করার জন্য স্পষ্টতই কয়েক মিলিয়ন ডলার ব্যয় হবে।

মুল বক্তব্যটি হ'ল নির্দিষ্ট দৈর্ঘ্যের উপর পাসওয়ার্ড না দেওয়ার জন্য ব্যয়বহুল উত্তরাধিকারসূত্র থাকতে পারে।
(দ্রষ্টব্য যে আমি এই অজুহাতকে প্রশ্রয় দিচ্ছি না ...)

বেশিরভাগ ব্যাংক, তথ্যপ্রযুক্তি বিভাগ ইত্যাদি, যারা সর্বাধিক পাসওয়ার্ড বিধিনিষেধ প্রয়োগ করেন প্রযুক্তিগত কারণে তা করেন না। পাসওয়ার্ড হ্যাশিং কীভাবে কাজ করে এবং কীভাবে জটিল পাসওয়ার্ড সংরক্ষণ করতে হয় সে সম্পর্কে তারা পুরোপুরি অবগত। তারা এই সীমাবদ্ধতাগুলি আরোপ করে কারণ এটি তাদের পাসওয়ার্ড ভুলে যাওয়া লোকদের সমর্থন করার জন্য কলগুলির সংখ্যা হ্রাস করে। এই ধরণের সীমাবদ্ধতা আরোপ করার জন্য এটি কি ভাল কারণ? কোন অর্থ নেই. তবে, তবুও এটি মূল কারণ।

সমস্ত ইনপুট ডিভাইস (হার্ডওয়্যার-ওয়াইফ) প্রায়শই একটি সম্পূর্ণ কীবোর্ড বা একইভাবে সমস্ত অক্ষর থাকে না। যদি কেউ একটি পাসওয়ার্ড ম্যানেজার ব্যবহার না করে তবে এইরকম পাসওয়ার্ড দেওয়ার ক্ষেত্রে কেউ নিজেকে সমস্যায় ফেলতে পারে, না? এবং ইউনিকোড এখনও স্ট্যান্ডার্ড হওয়া থেকে অনেক দূরের (বহু দূরে)।

উপরের দৈর্ঘ্য নির্ধারণের জন্য বা পাসওয়ার্ডগুলিতে অক্ষরগুলি বাদ দেওয়ার কোনও কারণ আছে?

আমি একটি অনুমান করতে যাচ্ছি এবং বলব যে & < > #হ্যাকারদের দূরে রাখতে এই ওয়েবসাইটগুলির ( ) ) গুলিতে চরিত্র ফিল্টারিংয়ের কারণে এর মধ্যে কয়েকটি নিষেধাজ্ঞার কারণ রয়েছে । অন্যেরা হাড়-মাথাযুক্ত ধারণা যা পয়েন্টওয়ালা চুলের মালিকদের কমিটিগুলি থেকে বেরিয়ে আসে।

আমি অনেকগুলি বোকা (আমার মতে) "সুরক্ষা" সিদ্ধান্ত নিয়ে এসেছি। উদাহরণস্বরূপ, একটি বৃহত বিনিয়োগ সংস্থা আমার পেনশনের পাশাপাশি আমার আইআরএ অ্যাকাউন্টগুলি পরিচালনা করে। অর্ডার করতে হলে কোনো পেনশন সঙ্গে যোগাযোগ আমাকে প্রয়োজন টেলিফোনে আমার পাসওয়ার্ডটি টাইপ করতে (আপনি তাদের অন্যথায় পৌঁছতে পারে না)। আমার দালালি / আইআরএ অ্যাকাউন্ট অক্ষর (উচ্চ এবং নিম্ন কেস) পাশাপাশি কিছু বিরামচিহ্ন ব্যবহার করে - এই অক্ষরের কোনওটিই টেলিফোন নম্বর প্যাডে উপস্থিত হয় না। আপনি যদি ফোনে পাসওয়ার্ড দিয়ে লগ ইন করতে না পারেন তবে এটি আপনাকে ফোনের মাধ্যমে টাইপ করতে পারে এমন কিছুতে আপনার ব্রোকারেজ অ্যাকাউন্টের পাসওয়ার্ডটি পুনরায় সেট করতে দেয়।

আমার বেতনভিত্তিক সিস্টেমের জন্য (আমি যে পরামর্শক সংস্থার জন্য কাজ করি তার জন্য) সংখ্যার প্রয়োজন হয় এবং কেবলমাত্র সংখ্যার প্রয়োজন - এটি তাদের একই ডাটাবেস ব্যবহার করতে দেয় যে ব্যবহারকারী কল করে (আমি এটি কখনও করি নি) অথবা ওয়েব ইন্টারফেস ব্যবহার করে (আমি কেবল এটি ব্যবহার করি) ।

বলা হচ্ছে, অফিসে আমার পাসওয়ার্ড পরিবর্তন করার সময় এসেছে। তাদের এমন পাগল বিধিনিষেধ রয়েছে যে আমি অনুমান করি যে এটি পাসওয়ার্ডটি সিস্টেমে গ্রহণযোগ্য হতে প্রায় আধা দিন সময় নেবে: কমপক্ষে 2 টি বড় হাতের অক্ষর, কমপক্ষে 2 টি ছোট অক্ষর, কমপক্ষে 2 ডিজিট (যা +/- 1 হতে পারে না) পূর্ববর্তী পাসওয়ার্ডের থেকে) কমপক্ষে 2 টি নন-আলফা / অ-সংখ্যাসূচক অক্ষর, শেষ 24 টি পাসওয়ার্ডের সাথে কোনওটির সাথে মেলে না, কোনও স্ট্রিং (সামনে বা পিছনের দিকে) থাকতে পারে না যা ইংরেজিতে একটি শব্দ (3 বা ততোধিক অক্ষরের দীর্ঘ) ( এছাড়াও কয়েকটি দু'টি ভাষা আমার জানার ছাড়পত্র নেই)। আমি মনে করি সর্বনিম্ন দৈর্ঘ্য 10-11 অক্ষরের মতো।

অক্ষর সীমাবদ্ধ করার একটি কারণ হ'ল পাসওয়ার্ড কীভাবে ইনপুট হয়।

উদাহরণস্বরূপ বেশ কয়েকটি ব্যাংক তাদের ইন্টারনেট ব্যাংকিং ওয়েবসাইটগুলির সাথে একটি পাসওয়ার্ড থেকে নির্দিষ্ট অক্ষর জিজ্ঞাসা করে এবং আপনি একটি ড্রপ-ডাউন বাক্সের মাধ্যমে উপযুক্ত অক্ষরগুলি নির্বাচন করেন select

তারা সম্ভবত এটি করে, যাতে কীলগাররা কীপ্রেস সনাক্ত করতে না পারে এবং এইভাবে আপনার পাসওয়ার্ডের [অক্ষরগুলি] জানতে পারে। যদিও আমি জানি যে আরও অনেকগুলি উপায় রয়েছে যেগুলি এই জাতীয় ব্যবস্থা গ্রহণ করতে পারে যেমন, স্ক্রিনক্যাপচার; এটি কীলগারদের বিরুদ্ধে এখনও কার্যকর।

যদি তাদের সমস্ত অক্ষর মঞ্জুর করতে হয় তবে ড্রপডাউন বাক্সের দৈর্ঘ্য জটিল হয়ে উঠবে এবং একইরকম বর্ণনামূলক অক্ষরের মধ্যে বিভ্রান্তির সুযোগ দেয়।

ট্যাবের মতো বিশেষ অক্ষরগুলি অস্বীকার করা বৈধ হবে। আপনি লগইন করতে পারেন বা পাঠ্য মোডে একটি ট্যাব চর দিয়ে আপনার পাসওয়ার্ড পরিবর্তন করতে পারেন তবে আপনি এটি কোনও জিইউআই বা ওয়েব পরিবেশে ব্যবহার করতে পারবেন না। একটি ব্যাকস্ল্যাশ চর কিছু ক্রস প্ল্যাটফর্ম সংক্রান্ত সমস্যাও উপস্থাপন করবে।

বিটিডাব্লু দীর্ঘ পাসওয়ার্ডগুলি পাসওয়ার্ড নয় - এগুলি পাসফ্রেজ। আপনার গড় ব্যবহারকারী 2Z8d!% G # x মনে করতে পারে না তবে তারা 'আমার পোষা প্রাণীর নাম কুকুরটিকে ফিদো' মনে করতে পারে। লম্বা পাঠ্যটি ব্রুট ফোর্সের মাধ্যমে ক্র্যাক করা আরও শক্ত এবং স্ক্রিনের সাথে সংযুক্ত কোনও নোটে লেখার সম্ভাবনা খুব কম।

লোকেরা টাইপ করলে তারা ভুল করে, "টাইপস" বলে। সাধারণত লোকেরা তাদের ভুল দেখে তাদের সংশোধন করে। পাসওয়ার্ড এন্ট্রি করার জন্য সাধারণত আপনি কী টাইপ করেছেন তা দেখতে পাচ্ছেন না এবং তাই আপনার টাইপগুলি সংশোধন করতে পারবেন না। আপনি এটি উপলব্ধি না করেই ভুল করেন, আপনার পাসওয়ার্ড জমা দিন এবং এটি "পাসওয়ার্ড অবৈধ" হিসাবে ফিরে আসে। তারপরে আপনি আবার চেষ্টা করুন। তারপরে আপনি আবার চেষ্টা করুন।

আপনি এটিকে "3 টি ছোট ছোট টাইপোগুলি হিসাবে ভাবতে পারেন এবং তারপরে আপনি কোনও বর্বর বাহিনীর আক্রমণ থেকে পৃথক হয়ে উঠতে পারেন"। কীভাবে সিস্টেমগুলি হিংস্র বাহিনীর আক্রমণ থেকে রক্ষা করতে পারে? একটি সুস্পষ্ট " অনেক প্রচেষ্টা, চলে যাও, আপনি সঠিকভাবে " প্রতিক্রিয়া পেলেও লগ ইন করতে সক্ষম হবেন না ? পাসওয়ার্ড এন্ট্রিতে তাত্পর্যপূর্ণভাবে বিলম্ব বাড়িয়ে তুলতে ব্রাউজারের সময়-আউট আউট হয়ে যায় যখন দেরিটি দীর্ঘ হয়, আবার লগ ইন করার চেষ্টা করা অসম্ভব করে তোলে? পন্থাগুলি পরিবর্তিত হয়, তবে একটি নকশা করা সিস্টেমে সর্বদা ফলাফল হয়।

আপনি এটিকে "3 টি ছোট ছোট টাইপোগুলি হিসাবে ভাবতে পারেন এবং তারপরে আপনি কোনও ধরণের পরিষেবার অস্বীকৃতি পান"।

পাসওয়ার্ডের দৈর্ঘ্য টাইপসের ঝুঁকি বাড়ায় (এবং তাই কোনও অনুমোদিত ব্যক্তির অ্যাক্সেস অস্বীকার করার ঝুঁকি) বৃদ্ধি পায়। প্রায় ২০ টি অক্ষরের চেয়ে বেশি যে কোনও কিছু বারবার ভুল টাইপ হতে চলেছে (যদি না ব্যবহারকারী স্মার্ট / অলস এবং কোথাও তাদের পাসওয়ার্ড সংরক্ষণ করে থাকে তবে তারা টাইপসের বিষয়ে চিন্তা না করে "কপি এবং পেস্ট" করতে পারে, যেমন তাদের ডেস্কটপে একটি ভাল সরল পাঠ্য ফাইল যেমন " পাসওয়ার্ড " বলে .txt ")।