risposta-alla-domanda-sullo-sviluppo-web-bd.com

Perché alcuni siti Web (incluso Google) tagliano gli spazi bianchi nelle password?

Ho appena notato che Google e alcuni altri siti tagliano gli spazi bianchi nella password.

Posso accedere con successo al mio account Google anche se aggiungo spazi extra alla fine della mia password.

Questo comportamento è inteso o un bug?

Ho anche provato alcuni altri siti e ho scoperto che molti siti fanno queste cose.

Ritengo che si tratti di un problema di sicurezza molto grave, in quanto alcune persone possono aggiungere intenzionalmente spazi all'inizio o alla fine della password per migliorare la sicurezza.

63
zccoding

Buona osservazione.

Nella mia esperienza ciò accade per una serie di ragioni, alcune intenzionali e altre non intenzionali.

Ragioni intenzionali per tagliare gli spazi bianchi:

  • Gli utenti spesso tagliano e incollano le password (sì, l'uso del Blocco note come gestore di password accade davvero) e l'operazione di incollaggio per alcuni client aggiunge uno spazio bianco.
  • Le password di frase (multi parola) sono sempre più utilizzate dalle persone per aumentare la lunghezza delle password e gli utenti a volte aggiungono uno spazio involontariamente per abitudine.
  • La tastiera mobile spesso aggiunge spazi dopo le parole. Mentre i browser mobili devono riconoscere il controllo della password (ad esempio type=password) ed evita di farlo per le password, non sempre lo fanno.

Motivi involontari:

  • Molte app utilizzano gestori di moduli standardizzati (ad esempio gestore Ajax) che tagliano di default gli spazi bianchi per i campi e gli sviluppatori potrebbero non riuscire o essere troppo pigri per ignorare il comportamento delle password.
  • Le password sono spesso elencate in bianco per prevenire caratteri illegali o non riconosciuti e la corrispondenza regex a volte taglia lo spazio bianco per errore.
  • eccetera.

Quindi non c'è una grande risposta qui perché i motivi variano davvero molto.

Ma una cosa è certa .... l'applicazione incoerente e la mancanza di divulgazione del sito in questo senso creano un'esperienza UX piuttosto scadente per gli utenti che notano o che cercano di utilizzare spazi bianchi iniziali o finali!

62
tohster

Questo comportamento non dovrebbe comportare alcun problema. I siti che tagliano le password li taglieranno sia all'ingresso iniziale che all'utilizzo, quelli che non lo fanno. Se usi spazi nella tua password e vengono eliminati, non te ne accorgerai nemmeno.

L'uso di spazi nella password non migliora la sicurezza più di qualsiasi altro carattere anziché spazio. Ma sapere che un sito taglia le password potrebbe migliorare la sicurezza: se qualcuno ti sta guardando digitare la tua password, gettato in alcuni spazi extra per distorcere la sua osservazione senza distorcere effettivamente la tua password.

3
BIshikawa

La semplice risposta è che * si presume che lo spazio bianco non sia intenzionale. "Concordo pienamente sul fatto che gli spazi siano molto utili per aumentare l'entropia della password MA penso che questo sia un compromesso molto utile poiché molte persone tagliano e incollano le password e sarebbero frustrate se non sono stati in grado di accedere al loro sito.

Per quanto riguarda la sicurezza della password, ci sono troppe cose che i siti Web commettono errori per quanto riguarda la sicurezza. Il più eclatante è limitare il numero di caratteri per una password. (Supponendo che le password non siano memorizzate in chiaro).

Il modo più semplice per sconfiggere gli attacchi del dizionario e della forza bruta è aumentando il numero di caratteri nella password.

Anche se il sistema non consente caratteri speciali, un set di 62 caratteri (lettere minuscole, MAIUSCOLO, 0-9) è, per tutti gli scopi praticabili, infrangibile con 16 caratteri.

1 Trilione di tentativi/sec (secondo Snowden) volte 3/4 di un miliardo di secondi in un anno. Sono circa 10 ^ 19

Una password di 16 caratteri è circa 10 ^ 30; che è, per quanto posso dire, infrangibile.

2
Mayo