강력한 암호를 어떻게 시행합니까?
https://stackoverflow.com/questions/167917
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russian문제
웹 사이트에는 강력한 암호를 시행하는 많은 기술이 있습니다.
- 암호를 요청하면 다양한 복잡성이 다시 나타납니다
- 캐주얼 사용자가 강력한 비밀번호를 갖도록 암호를 자율적으로 설정하십시오.
- 비밀번호가 만료됩니다
- 등.
다른 한편으로는 단점이 있습니다. 모두가 사용자의 삶을 덜 쉬워서 등록이 줄어 듭니다.
그래서, 어떤 기술을 사용하십니까? 최고의 보호 대 불편성 비율을 제공하는 것은 무엇입니까?
상황을 정리하기 위해, 나는 신용 카드를 저장하는 은행 사이트 나 사이트를 언급하지 않습니다. 여전히 등록이 필요한 인기있는 (또는 인기가 아닌) 사이트 측면에서 더 많은 것을 생각하십시오.
해결책
나는 강력한 암호를 시행 할 수 없다고 생각하지만 가능한 한 많은 것을 격려하기 위해 할 수있는 일이 많이 있습니다.
- 각 비밀번호를 평가하고 점수 또는 그래픽 바 등의 형태로 사용자 피드백을 제공하십시오.
- 최소 비밀번호 점수를 잡아 당기십시오 끔찍한 하나
- 금지 된 공통 단어 목록이 있거나 암호 점수를 탱크
하나 훌륭한 내가 사용하고 싶은 트릭은 비밀번호의 만료 날짜가 비밀번호 점수와 관련이있는 것입니다. 따라서 더 강한 암호를 자주 변경할 필요는 없습니다. 이것은 작동합니다 특히 사용자가 선택한 비밀번호가 얼마나 오래 살 수 있는지에 대한 직접적인 피드백을 제공 할 수 있다면 (캐릭터를 추가하는 것이 날짜에 미치는 영향을 확인할 수 있도록 동적으로 업데이트하십시오).
다른 팁
아무것도 시행하지 마십시오 ... 재무 정보를 보호하지 않거나 똑같이 중요한 것을 보호하지 않으면 만들다 사용자는 강력한 암호를 선택합니다.
포럼 등록이 필요한 사이트 전체에서 동일한 약한 비밀번호가 있습니다. 누군가가 추측하고 메시지를 게시 할 수 있는지 상관하지 않습니다 (그리고 누군가가 할 일이 많다고 생각하지 않습니다. 그래서). 내가 할 수없는 것은 12 개의 사이트에 대한 다른 강력한 암호를 기억하고 다른 소프트웨어를 사용하여 나에게 관리하고 싶지 않습니다.
가장 좋은 타협은 비밀번호가 얼마나 강한 지 (사전 단어인지, 다른 문자 유형의 수, 길이 등)에 대해 어떤 종류의 피드백을 사용자에게 보여주는 것입니다.
왜 억지로 시키다 그것?
"비밀번호 강도 미터"(입력 할 때 비밀번호 강도를 나타내는 막대)는 일반적으로 좋은 비 침입 척도라는 것을 알았습니다. 보안에 관심이있는 사람들은 비밀번호 약점에 대해 유죄 양심을 갖도록하지만, 신경 쓰지 않는 사람들을 좌절 시키지는 않습니다.
또한 통찰력있는 에세이가 있습니다 정기적 인 암호 변경 정책이 오늘날의 위협 모델에서 나쁜 아이디어 인 이유.
당신이 말했듯이 그것이 사이트 유형에 실제로 달려 있다는 것은 나의 경험이었습니다.
은행 또는 금융 웹 사이트를 작성하는 경우 사용자는 일반적으로 개인 데이터가 위험에 처할 수 있으므로보다 안전한 비밀번호가 있는지 이해합니다.
그러나 일반적으로 개인 정보가 많이 포함되지 않은 사이트의 경우 더 간단한 암호가 적습니다. 그들은 해킹 시도가 덜 걸릴 수 있으며, 어쨌든 가치있는 것을 얻지 못할 것입니다.
나는 또한 대부분의 사람들이 자주 사용하는 몇 가지 암호를 가지고 있다는 것을 알았습니다. 하나는 복잡하고 다른 하나는 단순합니다. 따라서 복잡한 암호를 사용하는 것은 일반적으로 사람들이 등록하는 것을 막을 수 없습니다.
나는 성공적으로 일할 비밀번호 만료를 찾지 못했습니다. 앞서 말했듯이, 많은 사람들이 이미 자주 사용하는 몇 가지 암호를 가지고 있으므로 사이트를 위해 이것 밖으로 나가라고 요청하면 다시 돌아오고 싶지 않을 수 있습니다.
가장 좋은 방법은 실제로 귀하의 사이트와 사용중인 것에 달려 있습니다. 그러나 이상적인 방법은 고객이 제출하기 전에 가능한 한 많은 일을하는 것입니다. Regex를 사용하는 것은 좋은 방법입니다. 양식을 다시 제출할 필요가 없다면 이상적입니다.
비밀번호가 만료되면 연습에는 두 가지 주목할만한 문제가 있습니다.
- 사용자는 현재 비밀번호를 기억하기가 더 어렵다는 것을 알게되므로 모니터에 붙어있는 Post-It에 작성하는 것과 같은 어리석은 일을 할 가능성이 높습니다.
- 사용자는 각 시도마다 새롭고 강력한 관련이없는 암호를 생성하지 않습니다. 대부분의 경우 그들은 일부 계획을 사용하여 이전의 비밀번호와 유사한 비밀번호를 생성합니다. 따라서 공격자가 오래된 암호를 얻는 경우에도 여전히 새로운 암호를 추론하는 것이 매우 쉽습니다.
편집하다: 그것은 내가 전체 아이디어에 반대한다고 말하는 것이 아니라 다른 요인들과 함께 고려해야한다는 것입니다.
Ajax 도구 인 PasswordStrength가있어 암호가 좋은지 사용자에게 아이디어를 제공합니다. 비밀번호 생성을 금지 할 필요가 없기 때문에 좋아합니다.
http://www.asp.net/ajax/ajaxcontroltoolkit/samples/passwordstrength/passwordstrength.aspx
나는 이것을 본 적이 없지만 놀랍도록 작동하는 것 같습니다. 일반적인 비밀번호, 비밀번호를 입력하기 전에 사용자가 약간 아래로 스크롤하도록 강요합니다. 이것은 체커의 제안과 결합하여 부주의 한 선택을 막기 위해 많은 노력을 기울일 것입니다.
그러나 암호 재사용을 방지하는 문제를 해결합니다 ... 단서가 없습니다.
