最近,在GitHub上
发布了资源列表,这些资源具有不合理的复杂性,并且密码规则根本不成功。 我们正在积极讨论选择方案,因此我们决定加入讨论。
照片- 安德烈·亨特 ( Andre Hunter) -不飞溅密码长度未知
几乎所有站点都对密码长度有限制。 Stack Overflow和Coding Horror博客的作者Jeff Atwood
指出 ,最少10个字符的小节会使用户输入弱密码或流行密码的机会降低80%。 但是,有些资源报告了最小密码长度,但并未指出存在上限阈值。 在
选择中,您可以找到大型供应商的站点示例,其中密码字段中的短语最多可以包含20个字符。 但是您可以通过反复试验专门了解此限制。
美国电子道路收费系统站点的开发人员走得更远。 密码字段通常会
截断 “多余”字符。 用户无法立即理解在相应字段中输入密码时为什么密码不匹配的原因。 一家新西兰航空公司的网站上也
存在类似的问题。 此外,它不会出现在所有页面上。 这样的资源很多-一位Hacker News居民
指出 ,他已经数不清了,他必须在浏览器的“源”选项卡中手动修改JS脚本的次数,以便密码能够正常处理。
可以认为 ,密码“减少”的问题隐藏在密码的存储方法中。 也许访问是明文的(无哈希)-例如,在具有varchar字段的数据库中。
定期更改密码
可以认为,如果密码是可靠的并且没有在泄漏中突出显示,则更改密码是
没有意义的 。 在今年年初,甚至Microsoft也
拒绝定期更改密码。 但是,并非所有人都跟随他们的脚步。 例如,一家为信贷和抵押组织开发应用程序的美国公司
要求用户每六个月更改一次密码。
Hacker News的一位居民
说 ,他的公司需要每三个月更改一次密码。 这使他非常恼火。 在这种情况下,负责轮换的软件在保存新的身份验证数据时会混淆特殊字符的顺序。 无法使用更改后的密码登录。 在情况得到纠正之前,他被迫使用较弱的字母数字短语。 定期更改密码的要求还导致公司员工开始重用过去的标识符。 另一位用户HN
说 ,他与一家电信提供商合作,一名员工仅使用两个密码登录其帐户:“ Apr1999!”或“ Mar1999!”。 它们仅正式满足密码要求:大写和小写字母,数字和符号。
输入管理
不确定如何出现阻止密码插入的行为。 美国国家网络安全中心的工程师
指出 ,没有人看到有关此主题的任何科学文章,研究,规则或RFC。 他们还说这是损害安全性的不良做法。 资源访问者无法使用密码管理器和生成器。 结果,他们选择简单的密码,以免浪费时间并更快地访问资源。 微软地区总监Troy Hunt和
Wired编辑约瑟夫·考克斯(Joseph Cox)也
发表了反对阻止插入的
言论 。
照片- 马修·布罗德 ( Matthew Brodeur) -不飞溅请注意, Chrome和Firefox的“不要粘贴粘贴插件”可以解决此问题。 另外,可以在设置中手动解决该问题。 例如,对于“ fire fox”, 有关以下标志:config:dom.event.clipboardevents.enabled需要切换为false 。 但是,这可能会破坏在Google文档中的复制/粘贴。 为了对抗复制/粘贴阻止,一名Hacker News居民编写了自己的脚本-AutoHotKey。 它从剪贴板读取数据,然后以100-200 ms的延迟在输入字段中依次打印它们。
谁标准化密码策略
有一些组织制定了使用密码的标准。 例如,美国国家标准技术研究院(NIST)编译了
NIST 800-63B框架。 它指出密码
必须至少八个字符长。 同时,要求站点将密码的最大长度设置为至少64个字符。
所选密码不应包含在最受欢迎的短语列表中,而应包含重复的字母和数字(“ aaaaaa”或“ 1234abcd”)。 Sophos
的工程师
准备了简短的解释这些规则的说明,Sophos是服务器和PC的信息安全工具的制造商。 NIST标准已经有很多站点。 例如,login.gov资源,该资源为美国政府门户提供身份验证服务。
还有其他框架(例如
HITRUST ),但是它们仍然具有过时的做法,例如常规的密码轮换。 但是,它们像NIST一样正在逐步得到改善。
关于1cloud博客的更多阅读:
Linux内核5.3的新功能 “我们如何构建IaaS”:1cloud材料 在边境检查电子设备-是否需要或侵犯人权? 为什么主流浏览器开发人员再次拒绝显示子域