Es gibt keinen technischen Grund, irgendwelche Zeichen in einem Passwort zu verbieten. Ich schätze, in dem Fall, dass Sie beschreiben, würden sie nur alphanumerische Zeichen zulassen, um Probleme auf der Benutzerseite zu vermeiden (zB durch Eingabe eines Zeichens, das auf Tastaturen in einem anderen Land nicht verfügbar ist).
Viele Anbieter und Sites zwingen Benutzer, sehr komplexe Passwörter zu wählen, die eine minimale Anzahl von Nummern und manchmal sogar Sonderzeichen enthalten, um Brute-Forcing oder dictionary attacks zu verhindern.
Ich glaube nicht, zwang Menschen, ein komplexes Passwort zu wählen, ist weise. Kennwörter, an die Sie sich nicht erinnern können, werden Sie irgendwo aufschreiben, was im wirklichen Leben oft ein viel größeres Sicherheitsrisiko schafft.
Ein einfaches Ratenlimit im Anmeldesystem (z. B. den Zugriff für 15 Minuten nach 3 fehlgeschlagenen Anmeldeversuchen verweigern) nimmt der Bedrohung durch Brute-Forcing viel eleganter den Weg.
Man muss nicht 100% damit einverstanden sein, aber ich fand dieses provokante Papier zum Thema von Microsoft Research sehr interessant. So Long, And No Thanks for the Externalities: The Rational Rejection of Security Advice by Users
Aus dem Abstract:
Es wird oft behauptet, dass die Nutzer hoffnungslos sind faul und unmotiviert auf Sicherheitsfragen. Sie wählen schwache Passwörter, ignorieren Sicherheitswarnungen und sind zu Zertifikatsfehlern blind. Wir argumentieren, dass die Ablehnung der Benutzer des Sicherheitshinweises, den sie erhalten, aus wirtschaftlicher Sicht völlig rational ist. Die Beratung bietet vor den direkten Kosten von Angriffen abzuschirmen, belastet sie jedoch mit weitaus größeren indirekten Kosten in Form von Aufwand.
Ich erinnere mich nicht an irgendein Zeichen, das ein Problem ist, wenn Sie Platzhalter verwenden, aber ich könnte falsch sein, da ich den ganzen Förster noch andere Sprachen nicht kenne ... aber vielleicht, wenn Sie UTF-8 und den Platzhalter verwenden, sollte es sein genug, um alles zu akzeptieren. – Prix