Ulovlige tegn i et password...
I disse tider hvor vi konstant skal huske at skifte password og endvidere gøre dem komplekse så de er svære at hacke er mit spørgsmål dette:
Hvor svært er det at tillade tegn (som f.eks. $§!"%€& osv.) i et password?
Studsede over at Telmore ikke godtog passwords med et $-tegn i - men nu har telebranchen måske heller ikke den bedste politik mht. brugernes password-sikkerhed...
Hvis det er på deres hjemmeside skal de bare sørge for at "escape" (sanitere) bruger-input rigtigt selvom der burde ikke være nogen problemer hvis man implementere en database korrekt ind i en hjemmeside hvor at bruger-input selvfølgelig ikke kan være skadeligt for databasen, evt. ved brug af prepared statements som selvfølgelig også skal være implementeret korrekt.
Så for at konkludere det kort, det er ikke særligt svært men udvikleren har sikkert troet det ville være farligt at tillade special tegn. Hvis de gemmer kodeordene i en md5 hash er det jo ligemeget hvilke tegn der er i :-) Så måske gemmer de kodeordene i klar tekst?
Nutidens hashing af kodeord inkluderer dog også en "Salt" for at gøre rainbow-table cracking af kodeordet endnu mere besværligt.
-
0 -
0
