鑑於最近的Gawker Media password leak,我意識到許多用戶共享相同的密碼。爲了幫助鼓勵更強的密碼,是否有幫助,如果密碼在所有用戶中被限制爲唯一的?密碼字段應該是唯一的嗎?
我能想到的一個直接的不利之處(除了帳戶創建性能?)能夠知道某人正在使用給定的字符串作爲密碼。這些知識與用戶列表相結合可能會非常危險。
有沒有一種方法可以緩解這種缺點,同時保留不允許重複密碼的所謂好處?
它有點像XKCD kick bot,你不允許重複諸如「yah」或「lol」之類短的,非原創的句子。
編輯^ 2:我認爲你可以獨一無二 - 如果有人反對散列,但正如有人指出的那樣,用不同的鹽,這不會產生預期的效果。好眼睛!
絕對不是。
關鍵是密碼的任何信息都不可用於系統外部的用戶。如果他們可以很容易猜出哪些密碼正在使用,通過發現密碼不可用,那麼他們可以使用已知用戶名的密碼,並獲得訪問權限的好機會。
另一種方法是找到某種常用密碼數據庫,並阻止任何用戶使用它們。
我建議follwing因爲你已經提到使用「唯一@密碼所有
eeeuh
我可能會誤讀你的問題,但我希望你不要存儲實際的密碼?
你應該用隨機鹽散列密碼。這樣,如果一個或多個用戶擁有相同的密碼,則無法通知您。
如果您的系統以任何方式允許您確定兩個或更多用戶是否具有相同的密碼,那麼您以錯誤的方式存儲密碼。
真的不
只要你有鹽,密碼不會被存儲反正以同樣的方式。
如果你想確保密碼安全:
退房後我關於它在Reddit上做捆綁: http://www.reddit.com/r/netsec/comments/ektb8/in_the_light_of_recent_gawker_breakout_lets_talk/
您在您的帖子中聲明:「我不使用隨機鹽」請閱讀:http://stackoverflow.com/questions/1645161/salt-generation-and-open-source-software/1645190#1645190(鹽根據定義是隨機的,如果你使用非隨機的東西,你不使用鹽,而是使用一個鍵) – Jacco 2010-12-14 20:11:07
如果密碼管理是正確完成的,唯一應該知道密碼的人是首先創建密碼的用戶。在我的網站上,我從不以任何形式存儲密碼。我存儲了一個用某種獨特的「鹽」填充操作的密碼散列(SHA-1或某種變體)。本質上,如果兩個人確實擁有唯一的密碼,就沒有辦法說出來。
你給出的鏈接上的大多數密碼都是容易被猜到的字典密碼。非常微弱,而且容易暴力。它們都將被任何具有基本密碼檢查的系統所不允許。
我認爲在全球範圍內不允許使用某些密碼會更安全。揭示任何密碼對系統中的某些用戶有效,對我而言,這是你不想透露的。 – Joe 2010-12-14 19:58:46