directives NIST pour une longueur de mot de passe maximal

Question

En ce qui concerne les lignes directrices du NIST ici: https://pages.nist.gov/800-63-3/sp800-63b.html

J'ai toujours pensé maximum length password requirements are bogus. Pour la plupart, les exigences de longueur maximale n'ont de sens que pour les systèmes anciens et très anciens.

Mais pour les nouveaux, tous utilisent de bons algorithmes de hachage? Pourquoi ne pas supprimer la recommandation de longueur maximale au lieu de dire qu'il devrait y avoir une limite de 64 caractères? Si je veux écrire un monologue complet dans le champ mot de passe, pourquoi me plaindre?

Pourquoi le NIST le recommande-t-il?

Answer 1

Je pense que vous avez mal compris l'exigence. A partir de la doc:

5.1.1.2 Memorized secret Vérificateurs

Vérificateurs, imposent aux secrets mémorisés choisi par l'abonné d'être au moins 8 caractères. Les vérificateurs DEVRAIENT autoriser les secrets mémorisés choisis par l'abonné au moins 64 caractères.

Ils disent que

• L'utilisateur doit fournir un mot de passe d'au moins 8 caractères.
• Le système doit pouvoir gérer au moins 64 caractères.

Ils n'indiquent pas un maximum. Le 8 est un minimum imposé à l'utilisateur; le 64 est un minimum imposé au système. Vous pouvez autoriser 64 000, si vous voulez.