首先讓我。說最小長度,區分大小寫以及所需特殊字符等細節應該取決於誰有權訪問以及密碼允許他們做什麼,如果是啓動核導彈的代碼,那麼它應該比密碼更嚴格以便登錄發揮你付費的在線版憤怒的小鳥
但我有一個SPE CIFIC牛肉與大小寫敏感。
對於初學者,用戶討厭它。人腦認爲「A = a」。當然,開發人員的腦子通常並不典型。 ;-)但是開發人員也會因區分大小寫而感到不便。
其次,CapsLock鍵太容易被誤操作。它正好在Tab和Shift鍵之間,但它應該高於Esc鍵。它的位置早在打字機的日子就建立起來了,它沒有備用字體。在那些日子裏,有它在那裏是有用的。
所有密碼都有風險...您將風險與易用性平衡,是的,可用性很重要。
我的理論: 是的,區分大小寫對給定的密碼長度更安全。但除非有人讓我這樣做,否則我會選擇更長的密碼長度。即使我們假定只允許字母和數字,每個添加的字符都會將可能的密碼的數量乘以36.
有些人比我數學懶惰可以告訴您組合之間的組合數量的差異,例如最少8 - 特徵區分大小寫密碼,以及12個字符的不區分大小寫的密碼。我認爲大多數用戶會喜歡後者。另外,並非所有應用都向其他用戶提供用戶名,所以黑客有可能需要找到兩個字段。
我也喜歡,允許在密碼空間,只要廣大的密碼是不空格。
在我正在開發的項目中,我的管理屏幕允許管理員更改適用於所有未來密碼的密碼要求。他還可以強制所有用戶在下次登錄後隨時更新密碼(以滿足新的要求)。我這樣做是因爲我覺得我的東西不需要區分大小寫,但管理員(可能爲我支付軟件費用)可能不同意,所以我讓這個人決定。
我的銀行卡的PIN只有4個數字。由於它只是數字,因此不區分大小寫。而且,這是我的錢!如果你不考慮其他什麼,這聽起來很不安全,是不是因爲黑客必須偷我的卡才能拿到我的錢。 (並且拍下他的照片。)
另一個牛肉:開發人員來到StackOverflow並反芻他們在某篇文章中讀到的硬性規則。 「從不硬編碼任何東西。」 (好像這是可能的。)「所有查詢都必須參數化」(如果用戶不參與查詢)。等等。
請原諒咆哮。 ;-)我保證我尊重分歧。
I *允許密碼討厭*最大密碼長度。 GRRRR! – Dana 2009-01-19 13:13:44