你如何執行強密碼？

Question

有許多技術，以加強對網站的強密碼：

• 請求密碼通過不同的複雜
• 設置密碼自主的正則表達式，讓普通用戶設置強密碼
• 讓密碼過期
• 等

另一方面手中也有缺點，因爲所有的人都讓生活更不容易爲用戶，MEA少註冊。

所以，你用什麼技術？哪種提供最佳的保護與不便比率？

要澄清事情，我不是指銀行網站或存儲信用卡的網站。考慮更多的流行（或不那麼流行）網站，仍然需要註冊。

Answer 1

我不認爲這是可能的強制使用強密碼，但也有很多的事情可以做，以鼓勵他們儘可能多地。

• 率每個密碼並給予一個分數或圖形欄的形式向用戶反饋等
• 設置密碼的最小比分淘汰了可怕那些
• 有一個列表是不是被禁止，或水箱密碼常用詞得分

一個優秀招我喜歡使用是有密碼的到期日掛鉤密碼比分。所以更強的密碼不需要經常更改。如果你可以給用戶直接反饋他們選擇的密碼將持續多長時間（並動態更新它以便他們可以看到添加字符如何影響日期），那麼這可以工作，特別是。

Answer 2

最好的辦法真的取決於你的網站，你使用的是什麼。但理想的做法是在提交之前儘可能在客戶端做盡可能多的事情。使用RegEx是一個好方法。如果你可以讓他們不必再次提交表格，那很理想。

Answer 3

不要執行任何操作......如果您沒有保護財務信息或其他同等重要的東西，那麼請不要使用戶選擇一個強密碼。

對於需要註冊論壇等的網站，我有相同的弱密碼。我真的不在乎是否有人猜測它，並可以發佈消息作爲我（並不認爲有很多動機因爲有人這樣做）。我不能做的是記住十幾個網站的不同強密碼，並且不想用另一個軟件來爲我管理它們。

最好的折衷辦法是，以顯示對密碼強度是某種形式的反饋給用戶（基於它是否是一個字典的字，不同的字符類型，長度等的數量）。

Answer 4

在讓密碼過期，還有與實踐兩個顯着問題：

• 用戶覺得比較難記其當前的密碼，因此他們更可能不喜歡他們寫在無聊的事情貼在他們的顯示器上。
• 用戶在每次嘗試時都不會生成新的，強大的無關密碼。大多數時候，他們使用某種方案來生成與舊版密碼相似的密碼。因此，如果攻擊者獲取舊密碼，他們推斷出新密碼仍然非常容易。

編輯：這並不是說我反對這個念頭，只是這需要與其他因素一起考慮。

Answer 5

爲什麼強制執行呢？

我發現「密碼強度計」（指示輸入密碼強度的橫條）通常是一種很好的非侵入性措施。它使那些關心安全的人對缺乏密碼的弱點感到內疚，但不會讓那些不在乎的人感到沮喪。

此外，還有一篇關於why periodic password change policy is a bad idea with today's threat model的富有洞察力的文章。

Answer 6

正如你所說，我的經驗確實取決於網站的類型。

如果您正在創建銀行或金融網站，那麼用戶通常會理解您是否擁有更安全的密碼，因爲他們的個人數據可能存在風險。

但是，對於通常不包含大量個人信息的網站，更簡單的密碼就可以。他們可能不太容易受到黑客攻擊，也無法獲得任何有價值的東西。

我也發現，大多數人似乎也有他們經常使用的幾個密碼。一個很複雜，另一個很簡單。所以要求他們使用複雜的密碼通常不會阻止人們註冊。

我從來沒有發現過期的密碼能夠成功工作。正如我之前所說的，許多人已經有一組他們經常使用的密碼，所以要求他們爲了您的網站而離開這個密碼可能會讓他們不想回來。

Answer 7

有一個Ajax工具PasswordStrength，如果用戶的密碼是好的，它會給用戶一個想法。我喜歡它，因爲它不必禁止創建密碼。

http://www.asp.net/AJAX/AjaxControlToolkit/Samples/PasswordStrength/PasswordStrength.aspx

Answer 8

我從來沒有見過這樣做，但它似乎將奇妙的工作：密碼創建頁面可能具有的可擴展列表，也就是說，50個最common passwords，迫使用戶滾動然後輸入密碼。這與Checkers的建議相結合，可以防止不小心的選擇。

但是，解決密碼重用的問題......毫無頭緒。