Como você aplicar senhas fortes?
https://stackoverflow.com/questions/167917
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPergunta
Existem muitas técnicas para impor senhas fortes no site:
- Solicitando que as senhas passar um regex de complexidade variável
- Definindo a senha de forma autônoma, para que os usuários casuais têm uma senha forte
- senhas Deixar expirar
- etc.
Nas outras mãos há desvantagens, porque todos eles tornar a vida menos fácil para o usuário, o que significa menos registros.
Assim, que técnicas que você usa? Que oferecem a melhor relação de proteção contra inconveniência?
Para esclarecer as coisas, eu não estou me referindo à banca sites ou locais que os cartões de crédito da loja. Pense mais em termos de sites populares (ou não tão populares) que ainda requerem registro.
Solução
Eu não acho que é possível impor senhas fortes, mas há muitas coisas que você pode fazer para incentivá-los, tanto quanto possível.
- Taxa cada senha e dar o feedback do usuário na forma de uma pontuação ou uma barra gráfica, etc.
- Definir uma pontuação mínimo da senha para eliminar o terrível as
- Tenha uma lista de palavras que, ou são proibidos, ou tanque a pontuação senha
Um excelente enganar Eu gosto de usar é ter data de validade da senha ligada à pontuação senha. Então senhas mais fortes não precisam ser alteradas com tanta frequência. Isso funciona especialmente bem, se você pode dar aos usuários feedback direto sobre quanto tempo a senha que você escolheu vai viver por (e atualizar dinamicamente-lo para que eles possam ver como a adição de personagens afeta a data).
Outras dicas
Não impor qualquer coisa ... se você não está protegendo informações financeiras ou algo igualmente importante, então não make que o usuário escolha uma senha forte.
Eu tenho a mesma senha fraca em toda uma carga de sites que exigem registro para fóruns, etc. Eu realmente não me importo se alguém adivinha-lo e poder enviar mensagens como me (e não acho que há muita motivação para alguém para fazê-lo). O que não podemos fazer é lembrar de diferentes senhas fortes para uma dúzia de sites e realmente não quer usar um outro pedaço de software para gerenciá-los para mim.
O melhor compromisso seria mostrar algum tipo de feedback para o usuário de quão forte a senha for (com base em se ele é uma palavra de dicionário, número de diferentes tipos de caracteres, comprimento, etc).
Por impor isso?
Eu achei que um "medidor de força da senha" (a barra que indica a força da senha enquanto você digita) geralmente é uma boa medida de não-intrusiva. Ele faz com que aqueles que se preocupam com a segurança de ter uma consciência culpada sobre a fraqueza senha, ainda não frustrar aqueles que não se importam tanto.
Além disso, há um ensaio perspicaz sobre por periódica política de alteração de senha é uma má idéia com atual modelo de ameaça .
Tem sido minha experiência que isso depende muito do tipo de local, como você disse.
Se você estiver criando um banco ou site financeiro, em seguida, os usuários normalmente entender se você tem uma senha mais segura, uma vez que os seus dados pessoais podem estar em risco.
No entanto, para sites que normalmente não contêm uma grande quantidade de informações pessoais de uma senha simples vai ficar bem. Eles podem ser menos propensas a cortar tentativas, e não iria receber nada mesmo valor.
Eu também descobri que a maioria das pessoas também parecem ter um par de senhas que eles usam frequentemente. Um ser complexo, e outra sendo simples. Então, solicitando que eles usam uma senha complexa normalmente não vai impedir as pessoas de se registrar.
Eu nunca encontrei expirar senhas para trabalhar com sucesso. Como eu disse antes, muitas pessoas já têm um par conjunto de senhas que eles usam, muitas vezes, por isso, pedindo-lhes para ir para fora desta apenas para o seu site pode torná-los não querer voltar.
A melhor maneira realmente depende do seu site e que você está usando. Mas a maneira ideal é fazer tanto no lado do cliente como você pode antes de apresentá-lo. Usando RegEx é uma boa maneira. Se você pode fazê-los não tem que enviar o formulário novamente, que é ideal.
Ao deixar senhas expiram, há dois problemas notáveis ??com a prática:
- Os usuários têm mais dificuldade para lembrar suas senhas atuais, e por isso eles são mais propensos a fazer coisas tolas como escrevê-los em um post-it preso ao seu monitor.
- Os usuários não gerar uma nova, senha forte, não relacionada em cada tentativa. Na maioria das vezes eles usam algum esquema para gerar uma senha semelhante à sua antiga. Portanto, se um atacante recebe uma senha antiga, ainda é muito fácil para eles para deduzir uma mais recente.
EDIT:. O que não quer dizer que eu sou contra a idéia, mas só que isso precisa ser considerado, juntamente com outros fatores
Há uma ferramenta Ajax, PasswordStrength, que dará ao usuário uma idéia, se sua senha é qualquer bom. Eu gosto dele porque ele não tem que proibir a criação de uma senha.
http://www.asp.net/AJAX/AjaxControlToolkit /Samples/PasswordStrength/PasswordStrength.aspx
Eu nunca vi este feito, mas parece que ele iria trabalhar maravilhosamente: a página de criação de senha poderia ter uma lista expansível do, digamos, a 50 mais senhas comuns , forçando o usuário rolar para baixo um pouco antes de digitar sua senha. Isto, combinado com a sugestão Damas, iria fazer muito para evitar escolhas descuidadas.
No entanto, resolvendo o problema de impedir a reutilização de senha ... nenhuma pista.
