Wie erzwingen Sie starke Passwörter?
https://stackoverflow.com/questions/167917
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Es gibt viele Techniken, starke Passwörter auf der Website zu erzwingen:
- Anfordern, dass Passwörter einen regulären Ausdruck unterschiedlicher Komplexität passieren
- das Passwort einstellen autonom, so dass gelegentliche Nutzer haben ein starkes Passwort
- Lassen Passwörter verfallen
- etc.
Auf der anderen Hand gibt Nachteile sind, weil sie alle das Leben weniger leicht für den Benutzer machen, weniger Anmeldungen bedeuten.
So Welche Techniken verwenden Sie? Welche bieten den besten Schutz gegen Unannehmlichkeiten Verhältnis?
So löschen Sie die Dinge, ich nicht auf Banken-Websites oder Websites beziehe mich auf die Kreditkarten speichern. Denken Sie mehr in Bezug auf den weitverbreiteten (oder nicht so beliebt) Websites, die noch eine Registrierung erforderlich ist.
Lösung
Ich glaube nicht, es ist möglich, starke Passwörter zu erzwingen, aber es gibt viele Dinge, die Sie tun können, sie so weit wie möglich zu fördern.
- Rate jedes Passwort und geben dem Nutzer-Feedback in Form einer Kerbe oder einer grafischen Bar, etc.
- Stellen Sie ein minimales Kennwort-Score der schrecklich diejenigen auszuzusondern
- Haben Sie eine Liste häufig verwendeter Wörter, die entweder verboten sind, oder Tank das Passwort-Score
Ein ausgezeichnetes Trick, den ich verwenden möchte, ist das Passwort des Verfallsdatum auf die Passwort-Partitur gebunden zu haben. So stärkere Passwörter müssen nicht so oft gewechselt werden. Dies funktioniert insbesondere gut, wenn Benutzer ein direktes Feedback darüber geben können, wie lange das Passwort die sie gewählt haben, werden leben (und es dynamisch zu aktualisieren, damit sie sehen, wie das Hinzufügen Zeichen das Datum betrifft).
Andere Tipps
Sie nichts erzwingen ... wenn Sie nicht finanzielle Informationen schützen oder etwas ebenso wichtig ist, dann nicht machen der Benutzer ein sicheres Passwort wählen.
Ich habe das gleiche schwaches Passwort auf eine ganze Last von Websites, die für Foren eine Registrierung erforderlich ist, etc. Ich wirklich egal, wenn jemand es Vermutungen und können Nachrichten wie mich schreiben (und glaube nicht, es gibt viel Motivation für jemand dies zu tun). Was kann ich nicht tun, ist unterschiedlich starke Passwörter für ein Dutzend Websites erinnern und nicht wirklich wollen, ein weiteres Stück Software zu benutzen, sie für mich zu verwalten.
Der beste Kompromiss wäre eine Art von Feedback an die Benutzer zu zeigen, wie stark das Passwort (auf der Grundlage, ob es ein Wort aus dem Wörterbuch, die Anzahl der verschiedenen Charaktertypen, Länge, etc.) ist.
Warum erzwingen es?
Ich fand, dass ein „Passwortstärkeanzeiger“ (ein Balken angezeigt, die Passwortstärke während der Eingabe) ist in der Regel eine gute nicht-intrusive Maßnahme. Es macht diejenigen, die über Sicherheit sorgen ein schlechtes Gewissen über Passwort Schwäche haben, noch nicht jene vereiteln, die nicht so viel kümmern.
Außerdem gibt es eine interessante Abhandlung über warum periodische Kennwortänderung Politik ist eine schlechte Idee, mit dem heutigen Bedrohungsmodell .
Es ist meine Erfahrung, dass es wirklich von der Art der Website hängt, wie Sie gesagt haben.
Wenn Sie eine Bank oder eine Finanz Website erstellen dann in der Regel Benutzer verstehen, wenn Sie ein sicheres Passwort haben, da ihre persönlichen Daten gefährdet sein könnten.
jedoch für Websites, die typischerweise in Ordnung sein wird nicht viel von persönlichen Informationen ein einfacheres Passwort enthalten. Sie können weniger anfällig für Versuche zu hacken, und würde nichts lohnt sich auf jeden Fall erhalten.
Ich habe auch festgestellt, dass die meisten Menschen scheinen auch ein paar Passwörter sie häufig verwenden. Ein Wesen komplex, und ein anderer einfach zu sein. So anfordernden sie ein komplexes Passwort verwenden in der Regel nicht halten die Menschen von der Registrierung.
Ich habe noch nie erfolgreich zu arbeiten ablaufende Passwörter gefunden. Wie ich schon sagte, viele Menschen bereits eine Reihe paar Passwörter haben sie häufig verwenden, so bitten sie außerhalb dieser zu gehen, nur für Ihre Website kann sie nicht zurückkommen will.
Der beste Weg, hängt wirklich von Ihrer Website und was Sie verwenden. Aber der ideale Weg ist, so viel auf der Client-Seite zu tun, wie Sie können, bevor sie es einreichen. RegEx ist eine gute Art und Weise. Wenn Sie machen können sie nicht wieder das Formular abschicken müssen, das ist ideal.
Ein Stich gelassen Passwörter ablaufen, gibt es zwei bemerkenswerte Probleme mit der Praxis:
- Benutzer finden es schwieriger, ihre aktuellen Passwörter zu merken, und so sind sie eher dumme Dinge zu tun, wie sie auf einem schreiben Post-it auf ihrem Monitor stecken.
- Benutzer erzeugen keinen neues, starkes, unabhängiges Passwort auf jedem Versuch. Die meiste Zeit verwenden sie eine Regelung ein Passwort ähnlich wie ihre alten zu erzeugen. Deshalb, wenn ein Angreifer ein altes Passwort bekommt, ist es immer noch ziemlich einfach für sie eine neuere Version abzuleiten.
EDIT:. Was nicht ich bin gegen die ganze Idee zu sagen, aber nur, dass dies zusammen mit anderen Faktoren in Betracht gezogen werden muss,
Es gibt ein Ajax-Tool, PasswordStrength, die dem Benutzer eine Idee geben, wenn ihr Passwort taugt. Ich mag es, weil es nicht die Schaffung eines Passworts verbieten muss.
http://www.asp.net/AJAX/AjaxControlToolkit /Samples/PasswordStrength/PasswordStrength.aspx
Ich habe noch nie getan gesehen, aber es scheint, wie es wäre wunderbar funktionieren: die Passworterstellung Seite eine erweiterbare Liste der haben könnte, sagen wir, die 50
