Предоставление минимальных длин пароля

Question

У нас есть форма для входа в систему, а минимальная длина пароля - 8 символов. Поэтому, когда пользователь вводит что-либо меньше 8, мы проверяем длину с помощью javascript и даем пользователю знать, что минимальная длина пароля составляет 8 символов.

Однако я считаю, что это немного секретная информация, и для всех, кого я знаю, я мог бы сэкономить несколько недель для хакера, разоблачив ограничение на минимальную длину пароля.

Пожалуйста, дайте мне знать, если это целесообразно, или хорошо не отдать минимальную длину.

Answer 1

Не информируя пользователя о минимальной длине пароля, вы все равно можете сообщить им, что пароль тоже короткий «Ваш пароль слишком короткий, попробуйте более длинный». Однако у вас будут разочарованные пользователи, если вы не скажете им, как долго пароль должен быть как минимум. И хакер все равно сможет определить минимальную длину пароля в любом случае, если только немой маршрут и ошибка.

Разочарованные пользователи плохие, поэтому успокойте их, сообщив им, почему их пароль не подходит.

Если вы беспокоитесь о безопасности, я бы рассмотрел другие вещи, которые вы можете контролировать, что не будет приводить к неудовлетворенности ваших паролей пользователей. (HTTPS, требующий подтверждения изменения пароля, требующего минимального количества специальных символов, список можно продолжать и продолжать).

Answer 2

пользователю желательно знать. это с точки зрения пользователя. Если вы этого не скажете, у него могут возникнуть проблемы с вашими действиями, и он даже не знает, почему ..