空格是否是密码的有效组成部分?我试图保存最近的 10 个密码一数据库中的字符串,需要为它们找到一个好的分隔符。我认为空格可能是个不错的选择。你怎么看?
答案1
这取决于您的密码策略。我知道很多网站/系统将空格作为密码的有效字符。为了安全起见,您可以检查密码中的空格并将其转义。
哦,还有简短的更新:尝试修复数据库设计。由于您有 1:n 关系,因此您应该分别保存每个密码并将每个条目连接到相应的用户。
答案2
空格通常有效。我会对任何分隔符保持警惕,因为它是一种通过隐蔽性实现的安全形式,这样别人就不会破解它或将来意外发现它,而您必须找出错误。
我会为每一个使用单独的条目。
您没有提到这是什么应用程序……如果您正在制作该应用程序,您可以尝试执行一些操作来强制执行您自己的策略,以清除并清理该条目,或者您可以更明智地对密码进行哈希处理(您通常不希望保存实际密码),并且哈希中不会包含密码。那么我想您可以使用任何您想要的分隔符,只要它不是字符哈希命名空间的一部分。
答案3
您不能依赖空格,因为它在大多数系统上都是有效的密码字符,尤其是现在密码短语是新密码。
根据您执行的操作/方式,您可能能够使用 ASCII 0x00 的字符,或者键盘上通常找不到的另一个字符,或者 unicode 怎么样?
就我个人而言,我不会尝试将它们连接成一个字符串,我可能会为每个密码存储一个条目。