NIST最大密码长度指南

Question

关于NIST的指导方针：https://pages.nist.gov/800-63-3/sp800-63b.html

我一直认为maximum length password requirements are bogus。在大多数情况下，最大长度要求仅对遗留的和非常老的系统来说是有意义的，甚至是远程的。

但是对于新的，所有这些都使用好的哈希算法？为什么不完全删除最大长度建议，而不是说应该有64个字符的限制呢？如果我想在密码字段中输入一个完整的单字，为什么要抱怨呢？

为什么NIST会推荐这个？

Answer 1

我想你误解了这个要求。从医生那里：

5.1.1.2记忆秘密验证器 验证者应要求订户选择记忆的秘密至少8个字符的长度.验证器应该允许订阅者选择存储的秘密至少64个字符的长度。

他们说

• 用户必须提供至少8个字符的密码。
• 系统应该能够处理至少64个字符。

他们并没有规定最高限额。8是对用户施加的最小值；64是对系统施加的最小值。如果你愿意的话，你可以允许64,000美元。