禁止用户选择common passwords是一个好主意,对于一个小网站来说可能有点过头了,每个月有几千名访问者......但是如果你出售的产品或服务有钱交换你会考虑这样做吗?
答案 0 :(得分:4)
我认为对密码实施某种程度的安全性是完全合理的。
除了禁用常用密码列表外,您应该考虑让用户在选择弱密码时了解安全问题,甚至可能要求他们使用不同的案例,数字,符号等。
答案 1 :(得分:3)
如果涉及金钱或个人信息,您应该强制用户在数字和字母之间混合至少6个字符(许多人说8但我喜欢6)。您可能希望存储一个人们不应该使用的常见快速密码表,如123456等。
您还应该为每个密码链接一个到期日期(在我的特定情况下,用户必须每3个月更改一次密码)。跟踪以前的密码并警告用户他们不能使用相同的密码(至少持续一段时间)。
答案 2 :(得分:1)
我认为这个网站有答案。 Passwords don’t have to be Long and Complex
答案 3 :(得分:1)
您所谈论的是密码强度政策,在金融机构和学术网站中非常常见。我的大学强制执行至少6个字符,例如至少有一个大写,小写和非字母字符。可以通过简单的正则表达式检查策略遵从性。
答案 4 :(得分:0)
强制使用复杂密码几乎不提供安全保障。我知道这不会受欢迎,但确实如此。这就是原因;随着密码要求变得越来越复杂,用户在多个站点使用相同的密码变得越来越普遍。
由于具有2个上限,2个下限,2个数字和2个特殊字符的密码可能符合大多数网站的密码复杂性要求,因此将重复使用。
更有效的方法来破坏网站特别是使用电子邮件地址作为用户名的方法是攻击其他网站,然后将这些电子邮件与您的用户名进行匹配。更好甚至更好的是提供一些需要登录的免费服务(免费mp3,免费色情,免费礼品卡等)。
如果我创建一个网站并存储用户名&明文密码的可能性很大,并且随着我们共享一个共同用户(电子邮件地址)的唯一用户数量的增加而增加,并且给予足够多的共享用户可能接近100%,其中至少有一个用户重新使用相同的密码。我知道我网站上的用户名/密码,因此我知道您网站上的用户名/密码。
您应该施加一些最低复杂性要求,以避免常见密码和字典攻击但不会给用户带来超强的密码要求。你为小小的真正安全创造了很多悲伤。真正的安全性通常很难。 如果你想要真正的安全性,你可能需要双因素身份验证。我的经纪人例如不允许我选择我自己的用户名(通常会被转发)并需要RSA令牌才能登录,以及我的密码。我拥有的东西+我认识的东西。
更好的是3因素身份验证;通过从新/未知位置进一步验证来添加登录地理位置。