Eine Erklärung, die ich hier nicht gesehen habe, ist, dass viele Finanzinstitute eng in ältere Systeme integriert sind und an die Einschränkungen dieser Systeme gebunden sind.

Die Ironie dabei ist, dass ich Systeme gesehen habe, die wurden gebaut, um mit älteren Systemen kompatibel zu sein, aber jetzt sind die älteren Systeme weg und die Richtlinie muss noch vorhanden sein, um mit dem neueren System kompatibel zu sein, das gebaut wurde, um mit dem älteren System kompatibel zu sein.

(Die Lektion hier lautet: Wenn Sie mit einem alten System kompatibel sein müssen, sollten Sie diese Einschränkungen in Zukunft beseitigen.)

Was ist mit den Supportkosten? Nehmen wir an, wir haben jedem erlaubt, ein Passwort zu erstellen, das aus € Zeichen besteht. Hurra, wir können Sonderzeichen in unseren Passwörtern verwenden. Aber warten Sie - wie um alles in der Welt können wir dieses Passwort eingeben, wenn wir über das Mobiltelefon auf unsere Bank zugreifen möchten? Es ist einfacher, € über unsere Tastatur als über das Mobiltelefon einzugeben.

Was ist mit Feiertagen? Wir sind in Großbritannien, die nur auf die UK-Tastatur zugreifen. Anstelle von € können wir einfach £ eingeben. Das Wort leicht ist hier sehr wichtig. Für einige durchschnittliche Benutzer kann es ein Problem sein, die Zeichen für die "neue" Tastatur einzugeben. Wie wird er versuchen, es zu lösen? Er wird wahrscheinlich den Bank-Support anrufen, um ihn zu bitten, sein Passwort zu ändern oder zu fragen, warum das € -Zeichen von seiner Tastatur verschwunden ist.

Dies kann (schwach) als Tiefenverteidigungsmaßnahme gerechtfertigt sein. Wenn ein Injection- oder anderer Dateninterpretationsfehler vorliegt, kann die Begrenzung des Kennwortzeichensatzes und der Länge möglicherweise verhindern, dass er ausgenutzt werden kann. Dies vereinfacht auch die Implementierung etwas, da die Behandlung von Unicode- und Multibyte-Zeichenfolgen irrelevant ist, wenn sie nur mit 7-Bit-ASCII-Zeichen arbeiten, und einfachere Implementierungen in der Regel weniger Fehler enthalten.

Bewertung Dieses verringerte Risiko gegenüber dem erhöhten Risiko aufgrund der geringeren Kennwortqualität ist nicht einfach. Ich würde erwarten, dass mit zunehmender Anzahl der Benutzer eines Systems auch die Anzahl der Kennwörter zunimmt, die kompromittiert werden könnten, was eine Investition in die Aufhebung solcher Einschränkungen lohnender macht . Trotzdem sind die Passwörter der meisten Benutzer schrecklich, selbst wenn das Feld völlig uneingeschränkt ist.

Ich vermute, dass die Richtlinie für alle vom Benutzer eingegebenen Felder vorhanden ist und dass der Einfachheit halber dieselbe Benutzereingaberichtlinie (keine Sonderzeichen) auf Felder einschließlich Kennwörtern angewendet wurde. Oder irgendwann hatte eine Bank keine Hashing-Passwörter mehr und hatte einen SQLi-Angriff über ihr Passwortfeld. Es wurde entschieden, dass Passwörter keine Sonderzeichen enthalten dürfen (und der Grund für die Richtlinie wurde nach Einführung des Hashing vergessen).

Es ist definitiv ein Sicherheitsvorteil, Sonderzeichen in anderen vom Benutzer eingegebenen Feldern nicht zuzulassen, die nicht gehasht sind und für verschiedene Angriffe wie SQLi oder XSS (bei einem Bankadministrator, der sich ein Konto ansieht) verwendet werden können. Diese Bedrohungen werden jedoch im Allgemeinen gelöst, indem immer gebundene Parameter in SQL verwendet und Benutzereingaben bereinigt werden, bevor sie in db angezeigt / gespeichert werden.

Meine andere Vermutung ist, dass sie benutzerdefinierte Regeln haben möchten, die sich von denen unterscheiden können An anderen Orten können Sie Ihr sicheres Standardkennwort (das möglicherweise verloren geht) nicht einfach wiederverwenden und müssen sich etwas Einzigartiges für ihre Site einfallen lassen.

BEARBEITEN: Abhängig von weiteren Überlegungen In Bezug auf die Sprache kann ich mir mindestens drei ASCII-Sonderzeichen vorstellen, die allgemein verboten / entfernt werden sollten, da sie nur das Schicksal verführen. Insbesondere: \ 0 (null - ascii 0), da es üblicherweise verwendet wird, um das Ende der Zeichenfolge in Sprachen im C-Stil anzuzeigen (möglicherweise müssen Benutzer den Speicher nach dem Ende der Zeichenfolge ändern). Auch Wagenrückläufe und Zeilenvorschübe \ r (ascii 13) und \ n (ascii 10), da diese häufig systemabhängig sind, ob Zeilenumbrüche \ r \ sind n oder \ n und das bringt das Unvermeidliche mit sich, dass ich mich nur unter Windows anmelden kann, nicht unter meinem Mac / Linux-Computer. Tatsächlich erscheint es durchaus sinnvoll, nur druckbare ASCII (32-126) zuzulassen und die nicht druckbaren ASCII 0-31 und 127 zu verbieten.

Aber wenn Sie mit Sonderzeichen Unicode meinen, nicht ASCII-Zeichen (wie ,. / <> ?; ': "[] {} \ |! @ # $% ^ & * (- = _ + Aus Gründen der Einfachheit der Implementierung von mehreren Betriebssystemen / Tastaturen / Browsern erscheint es sinnvoll, keine Sonderzeichen zuzulassen. Stellen Sie sich vor, Ihr Passwort enthält einen Pi in Kleinbuchstaben. War das der griechische pi (π), der Codepunkt 0x3c0, oder der koptische Kleinbuchstabe pi ( ⲡ) Dies ist der Codepunkt 0x2ca1 - nur einer funktioniert, und diese Art von Problem mit ähnlichen Zeichen mit unterschiedlichen Codepunkten tritt im Unicode auf. Ihr Hash, der mit Bits arbeitet, kann die beiden π nicht gleichsetzen. Wenn Sie sich also anmelden An verschiedenen Stellen können Sie unterschiedliche Zeichen eingeben.

Obwohl dieses Problem ein Problem ist, das der Programmierer weitgehend kontrollieren und versuchen kann, es zu korrigieren, führt das Zulassen von Unicode-Zeichen zu Codierungsproblemen. Bei Ihren grundlegenden ASCII-Zeichen wird alles dargestellt in einer Ein-Byte-Zahl. Es gibt jedoch eine Reihe von verschiedenen verschiedene Schemata zum Codieren von Unicode. Ist es UTF-7, UTF-8, UTF-16, UTF-32, Latin-1 (ISO-8859-1), Latin-N-Codierung und (für einige Codierungen) die Bytereihenfolge (Little oder Big Endian)? ? Der Unicode-Codepunkt für pi (0x3c0) würde in UTF-7 als Bytes 2b 41 38 41 2d , in UTF-8 CF 80 als FF FE c0 dargestellt 03 in UTF-16 und FF FE 00 00 c0 03 00 00 in UTF-32. Sie könnten pi nicht in Latein-1 darstellen (es enthält nur 95 zusätzliche druckbare Zeichen), aber wenn Sie ein A1 in Ihrem Passwort hatten und sich in verschiedenen Codierungen befanden, müssen Sie es möglicherweise darstellen von einem der folgenden Zeichen ¡ĄĦЁ 'ก ”Ḃ (was in einigen lateinischen N zu A1 führen kann).

Ja, auf der Webseite ist möglicherweise ein Zeichensatz definiert, aber Benutzer Sie können den Zeichensatz auf einer Seite in ihrem Browser überschreiben oder Daten von einer anderen Stelle in einer anderen Codierung kopieren und einfügen. Am Ende des Tages kann es einfacher sein, diese Zeichen einfach zu verbieten.