密码和用户名仅提供单一密码作为登录的安全性有哪些?
如果用户名必须是唯一的,则其他用户不能拥有该用户名,并且用户可以映射到具有该ID的用户帐户。当攻击者暴力侵害用户名和密码时,攻击者就会对单个密码进行暴力破解。但是使用单一密码攻击者可以尝试使用相同的密码暴力强制访问所有帐户。
在您登录到应用程序后,您的会话将使用单个密码进行身份验证,该密码是会话ID。因此,攻击者可以尝试通过强制会话ID登录所有帐户。当然会话ID通常很长,因此非常难以暴力。
如果应用程序自动生成密码令牌,并且为映射到特定用户的密码添加始终唯一的前缀(前缀长度存储在数据库中),该怎么办?所以密码实际上是用户名和密码的组合,但是用户不知道呢?这种设置是否与用户名和密码系统具有相同的安全性?
答案 0 :(得分:1)
在考虑单一密码方法时,我可以看到许多可能的问题,例如,如果您允许用户设置自己的密码,那么只需将密码作为登录凭据就可以将应用程序打开,从而导致严重的安全漏洞。
最常见的情况是,用户将注册并使用密码,例如他们的名字或其他一些常用的不安全密码,从而使其易于暴力破解。
还要考虑这样一个事实:随着用户数量的增长,访问您网站的可接受密码数量也会增加,这使得暴力攻击更容易发挥作用。即使使用自动生成的密码,这也是我最关心的问题。
第三,我来尝试注册您的网站,我输入我的密码“Bob1”,如果其他用户输入了密码“Bob1”,该怎么办?你告诉我密码存在吗?两个用户无法使用相同的密码登录不同的帐户。
这里要考虑的主要问题是用户习惯于输入用户名和密码。我个人不想注册一个我只需要输入密码的网站,最重要的是我不想使用我的密码是自动生成并且难以记住的网站。
如果您担心安全性(如您所愿),那么我建议强制执行严格的密码规则(到期时间,长度,内容),并教育您的用户有关不安全密码的缺陷。在创建密码时,您可以检查它与用户输入的任何信息(例如姓名/出生日期等)不匹配。
总的来说,出于安全性和可用性的原因,我会说用户名/密码组合比单个密码更好。 另请参阅http://xkcd.com/936/
答案 1 :(得分:0)
如果您只使用密码,那么有人可以输入“helloworld”这样的字词并登录到随机帐户。 因为有人会使用这个密码。
有很多人会使用熟悉的短语作为密码。它的用户很有意义。
这种类型的漏洞剂量存在于用户名 - 密码组合中。