#1 2022-04-10 17:03:58

matro
Endora uživatel
Registrován: 2011-09-09
Příspěvky: 31
Web

Vytváření nového e-mailu - požadavky na heslo

Zdravím, měl bych dotaz a případně možná i rovnou feature request na požadavky na heslo při vytváření nového e-mailu. Momentálně jsou u hesla tyto požadavky:

* Musí mít alespoň 5 znaků a může obsahovat pouze velká a malá písmena, číslice a znaky ;@#$%&:*.,

Dvě věci.

1. Omezovat povolené znaky u hesla nedává absolutně žádný smysl z hlediska bezpečnosti. Naopak se tím bezpečnost snižuje, protože má útočník o tolik méně možných znaků a tudíž kombinací k hádání. Vůbec nechápu proč tam ta podmínka je, když heslo v plain textu (tak jak jej uživatel napíše) jako takové stejně nikdy do databáze nepůjde - do databáze se uloží až po hashování/šifrování a tím pádem jakýkoliv požadavek na povolené znaky ztrácí smysl. Teda doufám že hesla hashujete, protože jestli ne, tak to je úplně celý jiný (a mnohem větší) problém než povolené znaky a měl by se okamžitě vyřešit.

Nicméně všiml jsem si, že mezi povolenými znaky není +, - a ani žádné uvozovky, což je poněkud znepokojující, protože to by se to pak naklánělo k tomu že tam ty hesla fakt pálíte v plain textu a ty povolené znaky mají sloužit jako nějaká hodně primitivní prevence proti SQL Injection. Což pokud tomu tak je, tak SQL injection je to poslední co vás musí trápit, vzhledem k tomu že máte databázi plnou nešifrovaných citlivých údajů - což mimochodem samo o sobě může sloužit jako velmi legitimní podnět k podání žaloby. Navíc SQL injection jde zabránit tolika jinými a efektivnějšími způsoby než je zakazování znaků.

2. Toto bude znít trochu směšně po tom celém bodu 1, ale... Jelikož mezi povolenými znaky není pomlčka "-", tak automatické generování hesla z formuláře a ukládání do Klíčenky v Safari na macOS nefunguje, protože generuje hesla s pomlčkami.

Prosím tedy nezakazovat žádné znaky (je to nesmysl), nebo alespoň při nejmenším přidat pomlčku mezi povolené znaky. Ale pokud bod 1 je pravda, tak okamžitě předělat ten systém celý. A Okamžitě myslím s velkým O, protože i včera už bylo pozdě - absolutně nechápu jak se toto dostalo přes code review (jestli to je pravda tedy).

Upravil matro (2022-04-10 17:05:08)

Offline

Zápatí

Založeno na FluxBB | CZ a SK