关于NIST指南: https://pages.nist.gov/800-63-3/sp800-63b.html
我一直以为maximum length password requirements are bogus。在大多数情况下,最大长度要求甚至对于传统和非常旧的系统来说甚至是有意义的。
但对于新的,那些都使用好的哈希算法?为什么不完全删除最大长度建议而不是说应该限制64个字符?如果我想在密码字段中输入完整的独白,为什么要抱怨?
为什么NIST会推荐这个?
答案 0 :(得分:1)
我认为你误解了这个要求。来自doc:
5.1.1.2记忆秘密验证者
验证者应要求用户选择的记忆秘密长度至少为8个字符。验证者应该允许用户选择的记忆密码 至少 长度为64个字符。
他们说的是
他们没有说明最大值。 8是对用户的最低限度; 64是系统的最低强制。如果你愿意,你可以允许64,000。