Les utilisateurs doivent être autorisés à entré un mot de passe avec un espace au début ou à la fin?

• Le nombre de services bancaires et de carte de crédit, les sites qui ne me permet pas de mettre mon mot de passe à l'espace, $, * c'est à dire non de caractères alpha défie l'entendement.
• pourquoi l'espace à l'avant d'un mot de passe d'être traités différemment de dire que le trait de soulignement ou $. C'est un typable personnage dans la plaine old plage ascii et à peine va causer toute sorte de type unicode wierdness. Je pense que si vous pouvez le taper, il devrait être acceptable.
• ...est l'opinion que j'humblement offre. 🙂
• pourquoi? Je suppose que je n'ai pas pensé très profondément à ce sujet. Ma réaction instinctive est qu'il serait confondre la plupart des gens, ou au moins ceux qui sont moche les dactylos et aussi écrire leurs mots de passe sur un bout de papier. Je ne pense pas que le parage est la meilleure politique, mais il est peut-être le plus dans le monde réel-pratique.
• Je pense qu'il est temps d'arrêter de s'inquiéter au sujet de la petite peu de gens qui sont trop stupides accidentellement mis un espace avant leur mot de passe, deux fois, et l'écrire (mal), et puis l'oublier. Ils ont gagné il, de l'omi.
• Je suis en désaccord à ce. Lors de la saisie de son mot de passe pour la connexion, quelqu'un pourrait copier et coller, ce qui ajoute à la les espaces, ici ou là. Si vous n'avez pas de garniture dans votre login code de traitement, ils ne seront pas en mesure de vous connecter même si le mot de passe est exactement le même. Surtout si votre public est de nature non technique. Donc non, les espaces ne sont pas autorisés.
• c'est un très bon point. Je pense que c'est une de ces situations délicates. Si j'avais des ressources illimitées je détecter une pâte événement par rapport à un type d'événement, et afficher un message qu'il y avait un espace à la fin d'une pâte.
• oui autoriser les espaces (le plus possible les caractères, plus il faudra de brute), ne mettez pas de limite sur la longueur du mot de passe seulement min, vous devez hacher le mot de passe et choisir quelque chose de plus fort que md5 ou sha (SHA-512, bcrypt est bon, il y a d'autres), le sel à l'aide de bonnes entropie, si vous êtes sur un serveur linux. Je préfère urandom aléatoires ne pas attendre pour le pool d'entropie d'avoir suffisamment d'entropie. Si l'entropie est épuisée, le sel ne sera pas vraiment au hasard. D'autre part, ont urandom fait attendre. Bien sûr, le salage est pour protéger de l'arc-en-ciel après les attaques de votre base de données a été compromise.
• Vous ne devriez pas être en mesure de le coller dans le champ confirmation du mot de passe de toute façon. Sur les connexions oui pourquoi pas, mais lorsque vous créez un compte, vous devez désactiver le collage.
• C'est une idée horrible. Des tas de gens de générer quelque chose comme 15 caractères par mot de passe, vous ne pouvez pas attendre des gens qu'lentement type de personnes.
• vous avez raison, de la pensée sur elle et je dois dire que je ne sais pas ce que j'avais à boire dans la journée.
• vous avez eu tort. urandom est le déblocage/illimité à ne pas attendre pour les frais d'entropie. citation 1 citation 2 citation 3
• Ils doivent faire l'erreur deux fois. Si cela se produit, ils peuvent utiliser la réinitialisation du mot de passe de l'option.
• Juste essayé accounts.google.com/signup. Je ne peux pas créer un compte où les garnis de longueur de mot de passe est en dessous de 8. Après la création de bien, je peux me connecter même quand il y a un nombre arbitraire d'espaces autour de mon mot de passe. (Il en va de même avec d'autres Unicode des espaces tels que U+3000.)

Tous les commentaires

• Cela me rappelle une mauvaise expérience que j'ai eu avec des mots de passe Windows maintenant à plusieurs reprises. Je vais construire une machine, configurez le mot de passe d'administrateur, puis de le joindre au domaine. Le domaine impose des règles de complexité des mots de passe que mon mot de passe ne correspond pas. Maintenant, je ne peux pas me connecter au compte admin. Bah.
• De retour dans les âges sombres, j'ai eu ce problème avec mon compte AIM qui a un compte AOL. Par AOL, je pouvais utiliser mon mot de passe, mais apparemment c'est juste tronqué à 8 caractères derrière les scènes à chaque fois, comme quand j'ai commencé à utiliser stand-alone BUT, je n'ai pas de connexion jusqu'à ce que j'ai essayé seulement 8 caractères.

• Vous devriez la microgestion et mesure votre expérience d'utilisateur. Tourner les cadrans, tirez les leviers et voir ce que des bâtons! "Permettez à vos utilisateurs de faire face à leurs propres erreurs, même si cela signifie qu'ils doivent aller à la frustration" cette attitude manque d'empathie et non pas un chemin que je vous recommande.
• Si vous avez apprécié l'aide de la forme de trombone dans le Bureau, je présume?

• Bon point...code de vérification...
• Mot. Les utilisateurs sont toujours à couper et coller du texte et ce dernier espace obtient à chaque fois. De l'assiette, être cohérent et ne me dérange pas avec elle.
• Sauf que vous êtes potentiellement en diminuant la complexité du mot de passe sans avertir l'utilisateur. Ces jours, les gens ont tendance à penser à des choses comme ça.
• si vous vous souciez de mots de passe forts (et vous devriez), puis d'appliquer les règles qui spécifient suffisamment de caractères et la longueur nécessaire pour faire un mot de passe fort. Si vous pensez que ça va rendre les choses plus faciles à utiliser, puis la garniture. Ils ne sont pas mutuellement exclusives, aussi longtemps que vous êtes cohérent.
• NON!!! Ne pas modifier le mot de passe utilisateur entrée - utiliser le entrée comme-est. Quel que soit le post-traitement que vous faites avant le stockage d'une représentation de celui-ci dans la base de données - par exemple, le hachage comme un bon exemple - ne que systématiquement - mais l'utilisation de la entrée exactement que l'utilisateur est entré. Autre chose que vous faites va seulement se traduire par des problèmes de relire les histoires racontées ci-dessus par @Josh Kelly et Boden nouveau, et si vous n'avez toujours pas l'obtenir, relire jusqu'à ce que vous faites!

• Je pense que vous auriez du être correct sur le tard, à l'exception de quand vous à l'aide de MD5() ou quelque chose de similaire, directement, dans un délai de SQL.
• Aucune entrée ne doit être regex validé à tous. Juste d'échapper à toutes les problématiques de lettres.
• Merci à Jeff blog, je vais avec SHA256.

• Vous devez utiliser une double entrée pour ce cas, en raison d'une fuite ou d'espace est toujours valide et pour le cas limite, où une erreur est faite deux fois, vous pouvez réinitialiser le mot de passe. Un mot de passe ne doit jamais être vu après la première entrée de manière à peu près n'importe quels caractères sont utilisés.
• La gêne que j'ai vu se produire un certain nombre de fois avant de est lorsqu'un utilisateur dispose de son mot de passe stocké dans un fichier texte ou un e-mail ou quoi que ce soit. Ils ont ensuite copiez et collez cette de connexion (pas de signature). Donc, malheureusement, le double entrée n'est pas applicable dans ce cas. C'est peut-être un cas limite et j'ai été malchanceux?!
• Non, je ne pense pas que vous avez été malchanceux, je pense que vous avez à traiter avec les utilisateurs normaux (personne qui ne sait rien jamais envoie un mot de passe par e-mail) c'est parfaitement ok pour la connexion, mais lors de la création d'un mot de passe, vous devez empêcher la copie & coller.
• Je ne vois pas de cas où une double entrée permettrait de résoudre le problème. Soit ils copier coller le mot de passe quelque part, puis ils le font deux fois, ou ils l'entrer à la main et à peine faire une telle erreur. De l'autre côté, il est de mon avis que la force d'un mot de passe ne doit pas dépendre espaces/tabulations. Un générateur de mot de passe ne sera jamais créer de tels mots de passe, et dans le pire des cas, vous perdez la force de 1 caractère du mot de passe (si la longueur minimale est vérifiée après le parage, je ne vois pas tous les problèmes).
• Vous avez encore besoin pour permettre à des espaces comme ils sont valides caractères. Le point est de ne pas forcer l'utilisateur à faire un plus faible du mot de passe, ou de modifier le mot de passe sans qu'ils le sachent. Il serait de loin préférable de leur donner une erreur en leur demandant de supprimer ou les espaces que pour les garnir.
• Désolé, vous êtes absent de mon point de. Je ne pense pas que vous devez modifier le mot de passe lors de sa création. Comme vous le dites, vous avez juste à expliquer que le leader/suiveur espaces ne sont pas autorisés lors de la création du mot de passe (c'est juste une partie du site politique de mot de passe). La garniture sera effectué lors de la connexion à éviter le blanc de la question de l'espace. Bien que vous pourriez vous dire que vous êtes de prendre le mot de passe de moins en moins sécurisé je pense que c'est négligeable et que les avantages l'emportent sur les inconvénients.
• Je ne suis vraiment pas rater votre point, je sais bien que les utilisateurs de faire toutes sortes de pouliche choses avec leur entrée, mais le principal et les espaces ne sont pas vraiment inutilisable, ils sont tout simplement des caractères supplémentaires. Le problème est que les utilisateurs de copier et coller dans la première place, et vous pouvez concevoir un système qui empêche que, depuis le début. Il n'y a pas de situation où c'est une bonne idée d'avoir un mot de passe, pas dans un bloc-notes ou un e-mail (mot de passe de transfert par courrier électronique est l'une des plus stupides les choses un développeur ne compromettre leur propre sécurité).
• aussi, il n'y a pas une telle chose comme "négligeable" en matière de sécurité. Ce petit négligeable trou est de tous les thats besoin pour un pirate de faire un gros trou que vous pouvez ne jamais fermer. Ainsi, au lieu de la coupe lors de sa connexion, il suffit de leur montrer une erreur et lui demander de supprimer les espaces avant ni après. Vous faites cela pour la création, alors pourquoi ne pas l'authentification?

Tous les commentaires