我正在執行密碼+密碼提示代碼I,並且希望防止用戶立即使密碼提示顯示實際密碼。防止密碼提示正確輸入密碼
這裏是我想阻止場景:
比方說,密碼是:foobar123
然後密碼提示不能:
幾個問題:
如果您的威脅模型使得密碼提示可以接受,我認爲您的密碼暴露預防措施會過度。但是,如果你的威脅模型不能讓他們接受,但你被迫提供這個功能,那麼就像法西斯主義一樣。
最後,不要限制人們提供密碼提示。他們非常討厭。他們暗示你你知道什麼是和不是公衆知識我的生活。大多數網站我注意到僅限於罐裝密碼提示,提供的提示全部是一個公開記錄。
祝你好運!
我只會給用戶一組固定的問題供他們選擇,他們會給出答案。通過這種方式,您絕對不會暴露用戶輸入值,只會從您的預先選擇列表中選擇用戶的選定值。這將完全避免你的問題。
或者,如果您有用戶的電子郵件地址,則可以簡單地進行密碼重置,以使用允許一次性更改密碼的編碼密鑰發送鏈接。這樣您就不需要提供提示,只需更改密碼即可響應這些一次性使用的票據之一。
呃,我*討厭*當網站提供一套預先選擇的罐頭。他們不可避免地會出現諸如「你上哪所高中」或「什麼是你的寵物的名字」這樣的問題,這些問題可以用兩分鐘的谷歌搜索來回答。 – 2009-09-30 21:31:45
一個有趣的兩難境地!無法告訴你我故意使用多少「不重要」的網站「密碼是bob123」。那個,我不喜歡把一個完整的陌生人交給我的個人生活。那個陌生人可以很容易地採取提示列表並破解數十個銀行賬戶。 – 2009-09-30 21:37:26
@John - 所以在提出問題時更有創意。 – tvanfosson 2009-09-30 21:43:27
它需要是一個暗示模型嗎?
我已經在過去做到了這一點的方法是:
A-有一個安全問題。
B-有驗證碼。
C-爲文件中的電子郵件提供新的臨時密碼,只有在第一次使用時必須更改。
我忘了說,它是一個桌面應用程序,沒有連接。 – 2009-09-30 21:34:31
這是要在給定的機器上每次安裝通常是一個用戶嗎?例如鮑勃登錄到他的工作電腦,然後登錄到這個應用程序?或者,100個不同的人通過信息亭/共享機器訪問應用程序? – 2009-09-30 21:40:30
前者(鮑勃和他的機器)。 – 2009-09-30 22:25:33
就我個人而言,我說你可能會過度。但它在一定程度上取決於受損數據的嚴重性(例如,這是一個投票給高中女士的網站,還是高端拍賣行的網站,還是CIA的網絡訪問表單)?用戶數量以及任何人在使用不良提示並損害其訪問權限後因設計疏忽而起訴您的可能性。
你可以爲最愚蠢的人做正則表達式(例如,取6個字符的密碼子字符串,並在提示中對這些子字符串進行匹配),以及智能字符的字符數。例如。如果提示使用密碼中60到80%的字符(通過計數),則拒絕它。 一個更加細緻的解決方案是用位置來計數,例如,只有在「f」之後纔算「o」。但這可能也是過度的。
還要考慮非提示解決方案(多選,非言語的暗示,E-可郵寄密碼更改請求)
不能防止用戶做了愚蠢的事情。不管你放置什麼保護,他們將找到一種方法來解決它們。例如:
我認爲如果用戶那麼複雜,那麼他不會提出一個愚蠢的提示。我只是試圖解決簡單的情況。 – 2009-09-30 21:37:39
我不相信有產生一個確定的方式提示,除非您將密碼限制爲生日或給定名稱。
但他們不會是強密碼他們會嗎?
讓用戶建議一個提示 - 並支付一個明顯的價格。
給出大量的建議,提示不應該是顯而易見的,但我認爲它必須由用戶來決定。
這不是你的問題,如果他們損害了他們的帳戶的安全。節省不必要的編碼和測試,只是不用擔心這個功能!
這取決於。在信用卡詐騙的情況下,網站所有者經常失去。 – sheldonh 2009-09-30 22:04:07
我即將把我們的密碼提示模式更改爲一個罐頭選擇。對那些說用戶自己的問題的人來說,如果他們提出了一個愚蠢的問題和答案,我會提到它成爲那些爲我們的服務檯技術支持工作的人的問題。這就是我們想要避免的。
只是檢查這個......你不打算在任何地方存儲實際的密碼,是嗎?另外,你要讓用戶更改他的密碼......所以你可能不想告訴用戶他的密碼由於他的提示內容而不能改變,而且你不想存儲密碼,以便隨後編輯他的提示......哦,你明白了。 – 2009-09-30 21:40:56
@bob,好點,是的我想我可以驗證,只有當密碼是第一次給出。 – 2009-09-30 22:17:33