所以問題是有這樣的規則來拒絕用戶有密碼中的用戶名的良好做法?應該或不應該強密碼包含用戶名
例如,如果用戶輸入UserName User,那麼他不能擁有包含User的密碼,或者對用戶來說太難了?
也許只是拒絕用戶使用戶名等於密碼但允許密碼包含用戶名?
您認爲如何?
根據該MS鏈接http://windows.microsoft.com/en-AU/windows-vista/Tips-for-creating-a-strong-password強密碼不應包含用戶名。
如果密碼是由用戶生成的,那麼幾乎可以肯定是的,如果您對所有帳戶的安全性有所擔憂。考慮到這一選擇,用戶更有可能選擇他們的用戶名作爲密碼而不是隨機密碼,因此,攻擊者會嘗試使用第一個密碼之一。 (password123456,abc123等等的密碼也是如此。)
這暗示了min-entropy的概念。從本質上講,如果攻擊者想要猜測單個密碼並且不關心哪個密碼,則最小熵是所需的嘗試次數。 (這與標準密碼熵略有不同,這基本上是:如果攻擊者想要攻擊特定的憑證,則需要多少次嘗試)如果允許使用非常簡單的密碼,則最小熵值將是低於沒有複雜性規則的情況。
如果密碼是隨機生成的,則不允許使用用戶名減少憑證的熵,因爲它減少了可用密碼組合的數量。然而,在實踐中,攻擊者很可能仍然會先嚐試通用密碼,因此即使如此,檢測並限制通用密碼也可能是很好的做法。
你想要你的密碼是'強'嗎?在這種情況下,請確保它們包含數字/特殊字符,並將其明確傳達給用戶。 – mkro
是的顯然否認用戶名/密碼之間的任何相似之處。 – evandrix
很多網站需要數字和特殊字符,但請記住'abc; 123'仍然是比ecnlwuhwkxninvup更弱的密碼。 –