NIST-Richtlinien für maximale Kennwortlänge

Question

die NIST-Richtlinien bezüglich hier: https://pages.nist.gov/800-63-3/sp800-63b.html

Ich habe immer gedacht maximum length password requirements are bogus. Zum größten Teil sind maximale Längenanforderungen nur aus der Ferne für veraltete und sehr alte Systeme sinnvoll.

Aber für neue, die alle gute Hash-Algorithmen verwenden? Warum nicht die maximale Länge Empfehlung insgesamt entfernen, anstatt zu sagen, dass es ein Limit von 64 Zeichen sein sollte? Wenn ich ein ganzes Monolog in das Passwortfeld eingeben möchte, warum beschweren?

Warum sollte NIST das empfehlen?

Answer 1

Ich denke, Sie haben die Anforderung missverstanden. Vom doc:

5.1.1.2 Memorized Geheimnis Verifizierer

Gutachtern wird teilnehmer gewählt gespeicherten Geheimnisse benötigen mindestens 8 Zeichen lang zu sein. Verifizierer SOLLTEN es dem Teilnehmer erlauben, sich auswendig gelernte Geheimnisse zu merken mindestens 64 Zeichen lang.

Sie sagen, dass

• Der Benutzer ein Passwort von mindestens 8 Zeichen liefern müssen.
• Das System sollte mindestens 64 Zeichen verarbeiten können.

Sie geben kein Maximum an. Die 8 ist ein Minimum, das dem Benutzer auferlegt wird; Die 64 ist ein minimum für das System. Sie können 64.000 erlauben, wenn Sie wollen.