Сегодня я зашел на сайт и нашел это сообщение:
В рамках обновления новых систем безопасности мы требуем от всех существующих клиентов изменить свои пароли, чтобы повысить защиту их личной информации.
Мы рекомендуем использовать пароль, который легко запомнить, но трудно угадать другим. Обратите внимание, что новый пароль должен содержать от 8 до 16 символов и специальных символов, "'", "" ","; "," | ","? "," <","> "," ^ "," * ",": "," = "и" # "запрещены. Благодарим за понимание и сотрудничество.
16 символов, вероятно, достаточно, но я не вижу веских причин для ограничения длины.
Для меня более интересным является запрет использования некоторых специальных символов. В этой схеме по-прежнему доступно множество специальных символов, хотя я слышал о других сайтах, на которых разрешены только буквенно-цифровые символы. Почему содержимое моего пароля должно иметь значение для алгоритма хеширования? Это просто хеш или кодировка base-64 этого хеша, верно?
',";|?<>^*:=#? Почти наверняка, чтобы люди не встраивали код в обычные поля (как SQL-инъекция).
Следует ли мне беспокоиться о политиках безопасности где-либо на сайте?
Да, ты должен.
Потому что, если они могут узнать, какие символы в вашем пароле, это означает, что он хранится в виде открытого текста в базе данных. А это БАААД.
Потому что они плохо справились с предотвращением внедрения sql. Я почти понимаю, что не позволяю 'и "(ваша оценка от F до C) все остальное просто небрежно