爲用戶分配強密碼

Question

密碼有很多缺點，但它們仍然是向用戶提供某種身份驗證的唯一技術上直接的方式。

讓我們假設有關教育類型的系統。很多有密碼的人，很多人經常忘記密碼，很多CS學生和其他人試圖暴露其他密碼，大量的內部網絡釣魚旅行等等。

作爲管理員，而不是知道密碼不會讓您的帳戶「無法離開」，那麼分配人員隨機垃圾密碼而不強制他們改變它們的缺點是什麼？

只給人們一張紙上的強密碼告訴他們保持安全或記住並吃掉它..？

Answer 1

您將有兩個問題：

• 動了你的安全問題

你的密碼是如此強大，也不可能記住，你的系統的安全性將被推到一個事實，即密碼將寫在屏幕旁邊的筆記上，或保存在電腦桌面上某處明顯的地方

更具技術性的問題是：

• 您使用的隨機數生成器的安全性。

這是一個合法的問題，如果您自動生成密碼，並且有人可以隨時查詢您新密碼（通過創建新帳戶）。它也是硬以解決，雖然你有一些選擇。通常，您希望獲得儘可能多的來源（random.org，hotbits，使用您的語言進行加密保護），並將它們組合在一起。但是您不應該過多地查詢在線服務，並且您可能無法從中獲得足夠的信息，因此您需要完全依賴從加密安全流程中檢索到的服務。這通常是很好的，但如果我不斷提出這個問題，我就不會感到太舒服了。我個人認爲this對你來說不是一個壞主意（這是我5年前現在的想法;哇......）。但是在做之前真正考慮一下，並閱讀我已經鏈接的文章。

Answer 2

缺點是要記住更難，你也不會總是有紙條。

做，因爲他們在我的大學做：運行密碼破解，如果密碼太弱，需要/請求，它會被改變。

雖然爲了上帝的緣故，在之前對密碼運行破解程序，它們被加密。

Answer 3

我認爲這應該在安全性不是主要問題之一的組織中工作。否則應該使用定義明確的安全策略，這將需要擁有強密碼並定期更改密碼。

Answer 4

你說：

許多CS學生和其他人的努力實際上蠻力他人密碼， 大量的內部網絡釣魚旅行和這樣的。

如果發生這種情況，我猜基礎架構本身有問題。要嘗試暴力破解，攻擊者必須有權訪問密碼文件，或者嘗試訪問系統。第一種情況不應該發生，因爲任何人都不應該訪問密碼文件。第二個似乎很容易反駁 - 僅限於登錄嘗試次數/減慢登錄速度，當然還有一些審計嘗試這樣的事情。

分配預定義的密碼似乎並不是一個好主意 - 許多人都有自己的記憶/創建密碼的方式，如果你強迫他們使用他們不喜歡的東西，他們更可能在某處寫下它或者只是放鬆他們的那張紙。

我認爲唯一的建議是開發一個處理被遺忘密碼的高效方案。如果我們假設某種教育機構，可能會有其他形式的認證，當用戶請求重置他/她的遺忘密碼時可以使用，並且整個過程可以合理地有效。

Answer 5

如果您可以在系統中使用它，那麼我很喜歡生成一個作爲密碼的句子。這很容易記住，並且有很多角色可以猜測。這試圖減輕「粘滯便箋問題」，同時保持相當複雜。 :-)