最大密碼長度

Question

NIST準則這裏關於NIST準則： https://pages.nist.gov/800-63-3/sp800-63b.html

我一直認爲maximum length password requirements are bogus。對於大部分最大長度要求來說，即使對於傳統系統和非常老的系統來說，也只是遠程的。

但是對於新的，都使用好的散列算法？爲什麼不完全刪除最大長度建議，而不是說應該有64個字符的限制？如果我想在密碼字段中輸入整個獨白，爲什麼抱怨？

爲什麼NIST會推薦這個？

Answer 1

我想你已經誤解了這個要求。從DOC：

5.1.1.2記住祕密驗證程序

驗證程序應要求訂戶選擇存儲祕密的長度至少爲8個字符。驗證者應該允許用戶選擇記憶的祕密至少長度爲64個字符。

他們說

• 用戶必須提供至少8個字符的密碼。
• 系統應該能夠處理至少64個字符。

他們沒有說明最大值。該8是對用戶施加的最小值; 64是系統的最低限度。如果你願意，你可以允許64,000。