คำถามติดแท็ก passwords

รหัสผ่านคือคำหรือสตริงของอักขระลับที่ใช้สำหรับการพิสูจน์ตัวตนเพื่อพิสูจน์ตัวตนหรือเข้าถึงทรัพยากร

15
ทำไมรหัสผ่านควรถูกเข้ารหัสหากมีการจัดเก็บในฐานข้อมูลที่ปลอดภัย
ฉันมีบริการเว็บ ตอนนี้ฉันมีรหัสผ่านที่เก็บเป็นข้อความธรรมดาในตารางMySQLบนเซิร์ฟเวอร์ของฉัน ฉันรู้ว่านี่ไม่ใช่วิธีปฏิบัติที่ดีที่สุดและนั่นคือสาเหตุที่ฉันกำลังทำอยู่ ทำไมรหัสผ่านควรถูกเข้ารหัสหากมีการจัดเก็บในฐานข้อมูลที่ปลอดภัย ฉันรู้ว่าถ้าใครบางคนแฮ็คเข้าฐานข้อมูลของฉันพวกเขาจะได้รับรหัสผ่านของทุกคน แต่ฉันมีปัญหาอื่น ๆ ถ้ามีคนเข้ามาในฐานข้อมูลของฉันเช่นการลบข้อมูล สถานการณ์ที่ฉันคิดได้ก็คือคุณถูกแฮ็ก คุณคืนค่าฐานข้อมูลจากสองสามชั่วโมงที่ผ่านมาและทุกอย่างดี อย่างไรก็ตามหากรหัสผ่านของคุณเป็นข้อความธรรมดา ... ขโมยมีรหัสผ่านทั้งหมดและคุณต้องรีเซ็ตรหัสผ่านทั้งหมด รบกวนผู้ใช้ของคุณ หากรหัสผ่านถูกเข้ารหัสคุณสามารถคืนค่าฐานข้อมูลก่อนหน้าได้ นี่เป็นความคิดที่ถูกต้องหรือไม่

10
มีเหตุผลที่ถูกต้องสำหรับการไม่อนุญาตให้ใช้อักขระและจำกัดความยาวของรหัสผ่านหรือไม่
ฉันเจอไซต์จำนวนไม่มากที่จำกัดความยาวที่อนุญาตให้ใช้รหัสผ่านและ / หรือไม่อนุญาตให้ใช้อักขระบางตัว นั่นเป็นข้อ จำกัด สำหรับฉันเนื่องจากฉันต้องการขยายและค้นหาพื้นที่ในรหัสผ่านของฉันให้ยาวขึ้น มันทำให้ฉันรู้สึกไม่สบายใจที่พวกเขาอาจไม่ได้คร่ำครวญ มีเหตุผลที่ดีสำหรับการตั้งค่าความยาวส่วนบนหรือไม่รวมอักขระในรหัสผ่านหรือไม่?

14
ถ้าลูกค้าต้องการความสามารถในการดึงรหัสผ่าน?
ปัจจุบันฉันได้รับแอปพลิเคชั่นในที่ทำงานและทำให้ฉันตกใจฉันรู้ว่ารหัสผ่านผู้ใช้ที่เก็บไว้ในฐานข้อมูลนั้นถูกเข้ารหัสโดยใช้ฟังก์ชั่นการเข้ารหัสในบ้านซึ่งรวมถึงความสามารถในการถอดรหัส ดังนั้นทุกคนต้องทำจริงๆคือคัดลอกตารางผู้ใช้และคัดลอกชุดการเข้ารหัส (ทุกคนที่มีการเข้าถึงฐานข้อมูลการผลิต) จากนั้นพวกเขาจะสามารถเข้าถึงที่อยู่อีเมล 100,000 และรหัสผ่านที่เป็นไปได้สำหรับพวกเขา ฉันพยายามอธิบายให้ธุรกิจเข้าใจว่าทำไมมันถึงไม่ใช่ความคิดที่ดี แต่แนวคิดเรื่องความปลอดภัยดูเหมือนจะครอบคลุมไปทั่วเพราะพวกเขาไม่ได้คิดในเชิงเทคนิค (เป็นเรื่องของรัฐบาล) นอกจากนี้ยังมีฟังก์ชั่นการใช้งานที่มีอยู่ภายในแอปพลิเคชันสำหรับผู้ใช้ที่เป็นผู้ดูแลระบบเพื่อดึงรหัสผ่านของผู้ใช้เพื่อเข้าสู่ระบบในฐานะผู้ใช้และทำสิ่งต่าง ๆ ดังนั้นพวกเขาจึงไม่เข้าใจความหมายของความปลอดภัย และเพื่อที่จะใช้นโยบายความปลอดภัยที่เข้มงวดขึ้น (รหัสผ่านการแฮชเพื่อให้ไม่สามารถเรียกคืนได้ง่าย) ฉันต้องลบฟังก์ชันการทำงานที่มีอยู่ออก ฉันควรทำอย่างไร? ฉันไม่ได้สร้างระบบรหัสผ่านในตอนแรกดังนั้นจึงไม่เหมือนกับว่าฉันถูกตำหนิหากมีสิ่งใดผิดพลาด ในทางกลับกันฉันรู้สึกไม่ดีเกี่ยวกับเรื่องนี้และฉันก็ไม่ต้องการที่จะเข้าถึงการเข้าสู่ระบบอีเมลที่มีศักยภาพ 100,000 รายการ

6
การอัพเดตการแฮชรหัสผ่านโดยไม่บังคับให้ใช้รหัสผ่านใหม่สำหรับผู้ใช้ที่มีอยู่
คุณรักษาแอปพลิเคชันที่มีอยู่ด้วยฐานผู้ใช้ที่สร้างไว้แล้ว เมื่อเวลาผ่านไปมีการตัดสินใจว่าเทคนิคการแฮ็กรหัสผ่านปัจจุบันล้าสมัยและจำเป็นต้องอัพเกรด นอกจากนี้สำหรับเหตุผล UX คุณไม่ต้องการให้ผู้ใช้ปัจจุบันถูกบังคับให้อัปเดตรหัสผ่านของพวกเขา การอัพเดตการแฮชรหัสผ่านทั้งหมดต้องเกิดขึ้นหลังหน้าจอ สมมติว่าฐานข้อมูล 'ง่าย' สำหรับผู้ใช้ที่มี: ID อีเมล์ รหัสผ่าน วิธีการหนึ่งที่จะแก้ไขข้อกำหนดดังกล่าวได้อย่างไร ความคิดปัจจุบันของฉันคือ: สร้างวิธีการแฮ็กใหม่ในชั้นเรียนที่เหมาะสม อัพเดตตารางผู้ใช้ในฐานข้อมูลเพื่อเก็บฟิลด์รหัสผ่านเพิ่มเติม เมื่อผู้ใช้เข้าสู่ระบบสำเร็จโดยใช้แฮรหัสผ่านที่ล้าสมัยแล้วให้กรอกฟิลด์รหัสผ่านที่สองด้วยแฮชที่อัปเดต สิ่งนี้ทำให้ฉันมีปัญหาที่ฉันไม่สามารถแยกความแตกต่างที่สมเหตุสมผลระหว่างผู้ใช้ที่มีและผู้ที่ไม่ได้อัพเดตแฮชรหัสผ่านของพวกเขาและจะถูกบังคับให้ตรวจสอบทั้งสองอย่าง ดูเหมือนว่ามีข้อบกพร่องอย่างน่ากลัว นอกจากนี้โดยทั่วไปหมายความว่าเทคนิคการแปลงแป้นพิมพ์แบบเก่าอาจถูกบังคับให้อยู่ต่อไปเรื่อย ๆ จนกว่าผู้ใช้ทุกคนจะอัปเดตรหัสผ่านของตน ในขณะนั้นฉันสามารถเริ่มลบการตรวจสอบการแฮชเก่าและลบฟิลด์ฐานข้อมูลฟุ่มเฟือย ฉันกำลังมองหาเคล็ดลับการออกแบบที่นี่เป็นส่วนใหญ่เนื่องจาก 'โซลูชัน' ปัจจุบันของฉันสกปรกไม่สมบูรณ์และไม่มีอะไร แต่ถ้าต้องการรหัสจริงเพื่ออธิบายวิธีแก้ไขที่เป็นไปได้อย่าลังเลที่จะใช้ภาษาใด ๆ

6
ใส่รหัสผ่านในการเรียกใช้ REST API
สมมติว่าฉันมี REST API ที่ใช้ในการตั้งค่า / รีเซ็ตรหัสผ่าน สมมติว่าวิธีนี้ใช้ได้กับการเชื่อมต่อ HTTPS มีเหตุผลที่ดีที่จะไม่ใส่รหัสผ่านนั้นในเส้นทางการโทรหรือเปล่าสมมุติว่าฉันจะเข้ารหัสใน BASE64 ตัวอย่างจะรีเซ็ตรหัสผ่านดังนี้: http://www.example.com/user/joe/resetpassword/OLDPASSWD/NEWPASSWD ฉันเข้าใจว่า BASE64 ไม่ใช่การเข้ารหัส แต่ฉันเพียงต้องการปกป้องรหัสผ่านเพื่อท่องในกรณีนี้
31 rest  passwords 

5
วิธีใช้ประวัติรหัสผ่านที่ปลอดภัย
รหัสผ่านไม่ควรถูกจัดเก็บในข้อความล้วนเพื่อเหตุผลด้านความปลอดภัยที่ชัดเจน: คุณต้องเก็บแฮชและคุณควรสร้างแฮชอย่างระมัดระวังเพื่อหลีกเลี่ยงการโจมตีตารางรุ้ง อย่างไรก็ตามโดยปกติคุณมีข้อกำหนดในการจัดเก็บรหัสผ่านnล่าสุดและบังคับใช้ความซับซ้อนน้อยที่สุดและเปลี่ยนแปลงเล็กน้อยระหว่างรหัสผ่านที่แตกต่างกัน (เพื่อป้องกันผู้ใช้จากการใช้ลำดับเช่น Password_1, Password_2, ... , Password_ n ) นี่จะเป็นเรื่องไม่สำคัญกับรหัสผ่านแบบข้อความธรรมดา แต่คุณจะทำเช่นนั้นได้อย่างไรโดยการเก็บเฉพาะแฮช ในคำอื่น ๆ : วิธีการใช้กลไกประวัติรหัสผ่านที่ปลอดภัย?

7
การอ้างถึงความไม่สามารถเข้าถึงได้ของรหัสผ่านที่ไม่ซ้ำกันทั่วโลก
ฉันไม่เห็นด้วยกับใครบางคน (ลูกค้า) เกี่ยวกับกระบวนการระบุตัวตนผู้ใช้ / การรับรองความถูกต้องสำหรับระบบ จำนวนของมันคือการที่พวกเขาต้องการให้ผู้ใช้แต่ละคนมีรหัสผ่านที่ไม่ซ้ำกันทั่วโลก (เช่นไม่มีผู้ใช้สองคนสามารถมีรหัสผ่านเดียวกัน) ฉันได้คัดค้านข้อโต้แย้งที่ชัดเจนทั้งหมดเกี่ยวกับเรื่องนี้ (มันเป็นช่องโหว่ด้านความปลอดภัยมันสร้างความสับสนให้กับการพิสูจน์ตัวตนมันไร้ประโยชน์ ฯลฯ ) แต่พวกเขายืนยันว่าไม่มีอะไรผิดปกติกับวิธีนี้ ฉันได้ทำการค้นหา google หลายครั้งที่กำลังมองหาความคิดเห็น (หรือกึ่งมีอำนาจหรือแม้กระทั่งเป็นอิสระ) ในเรื่องนี้ แต่ไม่สามารถหาสิ่งใดได้ เท่าที่ฉันสามารถบอกได้) ใครช่วยชี้ให้ฉันเห็นความคิดเห็นที่เป็นอิสระเช่นนี้ได้ไหม? [แก้ไข] ขอบคุณสำหรับคำตอบทั้งหมดของคุณ แต่ฉันเข้าใจปัญหาของแนวทาง / ข้อกำหนดที่เสนอนี้แล้วและสามารถอธิบายให้ลูกค้าทราบได้ แต่ลูกค้าไม่ยอมรับพวกเขาดังนั้นคำขอของฉันสำหรับแหล่งข้อมูลที่เป็นอิสระและ / หรือเชื่อถือได้ . ฉันยังพบบทความประจำวัน WTF แต่มันทนทุกข์ทรมานจากปัญหาที่จอนฮอปกินส์มีออกแหลม - ว่านี้เป็น WTF ชัดเจนในตัวเองเช่นนั้นก็ดูเหมือนจะไม่คุ้มค่าการอธิบายว่าทำไม และใช่รหัสผ่านจะถูกใส่เกลือและแฮช ในกรณีที่ความเป็นเอกลักษณ์ระดับโลกอาจเป็นเรื่องยากที่จะให้ความมั่นใจ แต่นั่นไม่ได้แก้ปัญหาของฉัน - มันก็หมายความว่าฉันมีข้อกำหนดที่ลูกค้าจะไม่ขยับเขยื่อนไขไม่เพียง แต่จะไม่ได้รับคำแนะนำ แต่ก็ยากที่จะ การดำเนินการ และถ้าฉันอยู่ในฐานะที่จะพูดว่า "ฉันไม่ได้จ่ายเงินเพื่อขายเกลือและขายของ" ฉันก็จะอยู่ในฐานะที่จะพูดว่า "ฉันไม่ได้ใช้รหัสผ่านที่ไม่ซ้ำกันทั่วโลก" ตัวชี้ไปยังแหล่งข้อมูลที่เป็นอิสระและ / …

9
จะเป็น 'ถ้ารหัสผ่าน == XXXXXXX' เพียงพอสำหรับความปลอดภัยขั้นต่ำหรือไม่
หากฉันสร้างล็อกอินสำหรับแอปที่มีความเสี่ยงปานกลางถึงต่ำ (กล่าวคือไม่ใช่แอพธนาคารหรืออะไรก็ตาม) เป็นสิ่งที่ยอมรับได้หรือไม่สำหรับฉันที่จะตรวจสอบรหัสผ่านที่ผู้ใช้ป้อนโดยเพียงแค่พูดว่า: if(enteredPassword == verifiedPassword) SendToRestrictedArea(); else DisplayPasswordUnknownMessage(); ดูเหมือนง่ายที่จะมีประสิทธิภาพ แต่แน่นอนฉันจะไม่รังเกียจถ้านั่นคือทั้งหมดที่จำเป็น การตรวจสอบคอมโบของชื่อผู้ใช้ / รหัสผ่านง่ายเพียงพอหรือไม่ อัปเดต:โครงการเฉพาะที่เกิดขึ้นเป็นบริการเว็บการตรวจสอบเป็นฝั่งเซิร์ฟเวอร์ทั้งหมดและไม่ใช่โอเพ่นซอร์ส โดเมนเปลี่ยนวิธีจัดการกับสิ่งนี้หรือไม่?

5
“ ลืมรหัสผ่าน” - จะจัดการได้อย่างไร
ฉันอ่านคำตอบนี้และพบว่ามีความคิดเห็นยืนยันที่จะไม่ส่งรหัสผ่านทางอีเมล: รหัสผ่านไม่สามารถเรียกคืนได้ทางอีเมลฉันเกลียดที่ หมายความว่ารหัสผ่านของฉันถูกเก็บไว้ในรูปแบบข้อความธรรมดา ควรรีเซ็ตเท่านั้น นี่ทำให้ฉันมีคำถามเรื่องการจัดการตัวเลือกลืมรหัสผ่าน? รหัสผ่านแบบดิบจะต้องแสดงใน UI ใด ๆ เพื่อให้ผู้ใช้สามารถอ่านได้ ดังนั้นสิ่งที่จะเป็นวิธีในการจัดการ "ลืมรหัสผ่าน"

1
มีมาตรฐานอย่างเป็นทางการเกี่ยวกับแนวทางปฏิบัติในการจัดเก็บรหัสผ่านของผู้ใช้หรือไม่?
ฉันเพิ่งใช้บริการของรัฐที่ฉันมีบัญชีมานานหลายปีแล้ว ฉันจำรหัสผ่านไม่ได้สำหรับบริการดังนั้นฉันจึงใช้ลิงก์ "ลืมรหัสผ่าน" และรู้สึกประหลาดใจเมื่อเห็นว่าเว็บไซต์ของรัฐบาลนี้ส่งรหัสผ่านของฉันไปยังที่อยู่อีเมลเป็นข้อความธรรมดา ฉันทราบถึงวิธีจัดการกับรหัสผ่านของผู้ใช้เป็นการส่วนตัวและฉันส่งความคิดเห็นบางอย่างเกี่ยวกับข้อกังวลของฉันผ่านแบบฟอร์มความคิดเห็น (นี่เป็นเว็บไซต์ของรัฐบาลผู้คนใช้บริการ gov ออนไลน์อื่น ๆ ที่จัดการกับข้อมูลที่ละเอียดอ่อน คนส่วนใหญ่ใช้รหัสผ่านเดียวกันหรือรหัสผ่านจำนวนหนึ่งสำหรับทุกสิ่ง (ฉันรู้ว่าฉันทำ) และฉันสงสัยว่ามีการใช้การรักษาความปลอดภัยแบบเดียวกันตลอด) ซึ่งฉันได้รับการตอบกลับอย่างรวดเร็ว พวกเขาเพียงแค่ให้ความมั่นใจกับฉันว่า "กระทรวงได้ดำเนินการตามขั้นตอนที่จำเป็นเพื่อปกป้องข้อมูลรหัสผ่านรวมถึงการจัดเก็บพวกเขาด้วยการเข้ารหัสที่เหมาะสม" ฉันอยากจะบอกว่า "เห็นได้ชัดว่าคุณไม่ได้ทำตามขั้นตอนที่จำเป็นหากคุณสามารถส่งรหัสผ่านให้ฉันทางอีเมล" แต่ฉันไม่ได้พยายามหยาบคายและฉันไม่คิดว่าข้อความของฉันจะเคย เข้าถึงคนที่รู้ว่าฉันหมายถึงอะไรอยู่ดี ดังนั้นฉันจึงขอกล่าวว่า "ขั้นตอนที่จำเป็นยังไม่ได้ดำเนินการตาม [มาตรฐานความปลอดภัยบางอย่างเป็นทางการ]" ซึ่งอาจกระตุ้นให้บางคนมองเข้าไป ฉันค้นหา OWASP อย่างรวดเร็ว แต่พบบทความเกี่ยวกับที่เก็บข้อความธรรมดา มีมาตรฐานความปลอดภัยเกี่ยวกับการจัดการรหัสผ่านของผู้ใช้ที่มีการห้ามจัดเก็บข้อมูลรหัสผ่านที่สามารถเรียกคืนได้หรือไม่ (อย่างที่ฉันคิดว่าน่าจะเป็น) ยิ่งไปกว่านั้น: มีมาตรฐานดังกล่าวที่ต้องปฏิบัติตามด้วยเว็บไซต์ที่จัดการกับข้อมูลที่ละเอียดอ่อนเช่นธนาคารและบริการเว็บของรัฐบาลหรือไม่ ฉันรู้ว่าฉันอาจจะไม่เปลี่ยนแปลงอะไรเลย แต่มันก็คุ้มค่ากับ IMO shot

6
วิธีการรับรองผู้ใช้ว่าเว็บไซต์และรหัสผ่านมีความปลอดภัย [ปิด]
ปิด คำถามนี้เป็นคำถามความคิดเห็นตาม ไม่ยอมรับคำตอบในขณะนี้ ต้องการปรับปรุงคำถามนี้หรือไม่ อัปเดตคำถามเพื่อให้สามารถตอบข้อเท็จจริงและการอ้างอิงได้โดยแก้ไขโพสต์นี้ ปิดให้บริการใน4 ปีที่แล้ว ในเว็บไซต์ที่เชื่อถือได้ฉันจะเห็นการอ้างสิทธิ์เช่น "ข้อมูลทั้งหมดได้รับการเข้ารหัส" หรือ "รหัสผ่านทั้งหมดจะถูกเข้ารหัสโดยใช้การเข้ารหัสแบบ 128 บิต" และอื่น ๆ อย่างไรก็ตามฉันไม่เคยเจอการอ้างสิทธิ์เช่น "รหัสผ่านทั้งหมดถูกแฮช" ในเว็บไซต์ของฉันฉันจะเก็บรหัสผ่านผู้ใช้ทั้งหมดในฐานข้อมูลหลังจากใช้ SHA-512 (ส่วนใหญ่) hashing ด้วยเกลือแบบสุ่ม ฉันต้องการเพิ่ม snipet ที่ทำให้ผู้ใช้มั่นใจว่ารหัสผ่านของพวกเขาปลอดภัยดังนั้นพวกเขาจะไม่ถูกขัดขวางจากการใช้เว็บไซต์ของฉันเพราะมันต้องใช้รหัสผ่าน ฉันต้องการให้ผู้ใช้รู้สึกปลอดภัย แต่ฉันไม่คิดว่าทุกคนรู้ว่าการแฮ็กคืออะไร คำถามของฉัน: การส่งข้อความโดยบอกว่า "รหัสผ่านทั้งหมดมีการเข้ารหัสและปลอดภัย" เนื่องจากฉันไม่คิดว่าผู้ใช้โดยเฉลี่ยจะรู้ว่าความแตกต่างระหว่างการแฮชและการเข้ารหัสคืออะไรและมีแนวโน้มที่จะรู้สึกปลอดภัยมากขึ้นเพราะพวกเขาเห็น คำว่า "เข้ารหัส" ที่สะดวกสบายคืออะไร? หรือมีข้อความอื่นที่ฉันควรให้? ในหมายเหตุด้านบนฉันยังใหม่กับการเข้ารหัสและการแฮ็กรหัสผ่านและฉันสงสัยว่าสิ่งนี้จะปลอดภัยพอสำหรับตอนนี้เมื่อฉันเปิดไซต์หรือไม่ ฉันไม่ต้องการบอกผู้ใช้ว่าปลอดภัยหากไม่เป็นเช่นนั้น ข้อมูลใด ๆ ที่จะได้รับการชื่นชมอย่างมาก ขอบคุณ

4
ฉันจะประมาณค่าเอนโทรปีของรหัสผ่านได้อย่างไร
การอ่านแหล่งข้อมูลต่าง ๆเกี่ยวกับความแข็งแกร่งของรหัสผ่านฉันพยายามสร้างอัลกอริทึมที่จะให้การประมาณคร่าวๆว่ามีรหัสผ่านของเอนโทรปีเท่าใด ฉันกำลังพยายามสร้างอัลกอริทึมที่ครอบคลุมมากที่สุด ณ จุดนี้ฉันมีรหัสเทียมเท่านั้น แต่อัลกอริทึมครอบคลุมสิ่งต่อไปนี้: ความยาวรหัสผ่าน ตัวละครซ้ำ รูปแบบ (ตรรกะ) ช่องว่างอักขระที่แตกต่างกัน (LC, UC, ตัวเลข, พิเศษ, ขยาย) การโจมตีพจนานุกรม ไม่ครอบคลุมถึงสิ่งต่อไปนี้และควรครอบคลุมด้วย (แต่ไม่สมบูรณ์): การสั่งซื้อ (สามารถสั่งรหัสผ่านอย่างเข้มงวดโดยเอาท์พุทของอัลกอริทึมนี้) รูปแบบ (อวกาศ) ทุกคนสามารถให้ข้อมูลเชิงลึกเกี่ยวกับอัลกอริทึมนี้ที่อ่อนแอ โดยเฉพาะทุกคนสามารถคิดว่าสถานการณ์ที่ให้อาหารรหัสผ่านเพื่ออัลกอริทึมจะประเมินค่าสูงความแข็งแรงของตนหรือไม่ การประเมินต่ำกว่าประเด็นมีน้อย อัลกอริทึม: // the password to test password = ? length = length(password) // unique character counts from password (duplicates discarded) uqlca = number of …

8
ลงโทษผู้ใช้รหัสผ่านที่ไม่ปลอดภัย [ปิด]
ตามที่เป็นอยู่ในปัจจุบันคำถามนี้ไม่เหมาะสำหรับรูปแบบคำถาม & คำตอบของเรา เราคาดหวังคำตอบที่จะได้รับการสนับสนุนจากข้อเท็จจริงการอ้างอิงหรือความเชี่ยวชาญ แต่คำถามนี้มีแนวโน้มที่จะเรียกร้องให้มีการอภิปรายโต้แย้งโต้แย้งหรือการอภิปรายเพิ่มเติม หากคุณรู้สึกว่าคำถามนี้สามารถปรับปรุงและเปิดใหม่ได้โปรดไปที่ศูนย์ช่วยเหลือเพื่อขอคำแนะนำ ปิดให้บริการใน6 ปีที่ผ่านมา ฉันกำลังคิดเกี่ยวกับการ จำกัด สิทธิ์ของผู้ใช้ที่เลือกรหัสผ่านที่ไม่ปลอดภัย (ความไม่มั่นคงของรหัสผ่านที่ถูกกำหนดโดยความยาวจำนวนอักขระ (ประเภทตัวพิมพ์ใหญ่ / ตัวน้อยตัวเลขสัญลักษณ์ ฯลฯ ) ที่มีความปลอดภัยและไม่ว่าจะเป็น อยู่ในตารางสายรุ้ง) เพื่อ จำกัด จำนวนความเสียหายที่บัญชีของพวกเขาสามารถทำได้หากถูกบุกรุก ฉันยังไม่มีแอปพลิเคชันสำหรับความคิดนี้ แต่บอกว่าฉันกำลังเขียนฟอรัมหรือบางสิ่ง: ผู้ใช้ที่ใช้ 1234 เป็นรหัสผ่านอาจต้องกรอก captcha ก่อนโพสต์หรืออาจมีมาตรการต่อต้านสแปมอย่างเข้มงวดเช่น เมื่อหมดเวลาหรือตัวกรองแบบเบย์ปฏิเสธเนื้อหาของพวกเขา หากฟอรัมนี้มีลำดับชั้นมากอนุญาตให้ "การส่งเสริม" แก่ผู้กลั่นกรองหรืออะไรก็ตามด้วยวิธีนี้จะหยุดพวกเขาจากการได้รับสิทธิพิเศษหรือบอกพวกเขาว่าพวกเขามีสิทธิ์ แต่ไม่ให้พวกเขาออกกำลังกายโดยไม่มีการเปลี่ยนแปลง รหัสผ่าน แน่นอนว่านี่อาจไม่ใช่มาตรการรักษาความปลอดภัยเพียงอย่างเดียว แต่อาจเป็นไปได้ด้วยดีถัดจากแนวทางการรักษาความปลอดภัย คุณคิดอย่างไร? นี่เป็นการทำเกินความตั้งใจขโมยโฟกัสไปที่การรักษาความปลอดภัยที่สำคัญกว่าเดิมหรือเป็นวิธีที่ดีในการจำกัดความเสี่ยงและกระตุ้นให้ผู้ใช้ใช้รหัสผ่านที่ปลอดภัยยิ่งขึ้น (และหวังว่าจะทำให้คนที่คุณเชื่อมั่น

5
หากรหัสผ่านถูกเก็บไว้แฮชคอมพิวเตอร์จะทราบได้อย่างไรว่ารหัสผ่านของคุณคล้ายกับรหัสผ่านล่าสุดหากคุณลองรีเซ็ตรหัสผ่าน
หากรหัสผ่านถูกเก็บไว้แฮชคอมพิวเตอร์จะทราบได้อย่างไรว่ารหัสผ่านของคุณคล้ายกับรหัสผ่านล่าสุดหากคุณลองรีเซ็ตรหัสผ่าน รหัสผ่านทั้งสองจะไม่แตกต่างกันอย่างสิ้นเชิงเนื่องจากมีการแฮชและไม่สามารถย้อนกลับได้?

1
ในระหว่างการสร้างบัญชีจะเป็นการดีกว่าไหมถ้าจะสร้างรหัสผ่านโดยอัตโนมัติและส่งไปยังผู้ใช้หรือให้ผู้ใช้สร้างรหัสผ่านของตัวเอง?
คำถามนี้เกิดขึ้นในวันนี้ขณะที่พูดคุยกับเพื่อนร่วมงานเกี่ยวกับหน้า 'สร้างบัญชี' สำหรับเว็บไซต์ที่เรากำลังดำเนินการ ความคิดเห็นของเพื่อนร่วมงานของฉันคือเราควรทำการลงทะเบียนอย่างรวดเร็วและราบรื่นที่สุดเท่าที่จะทำได้ดังนั้นเราควรขออีเมลจากผู้ใช้และดูแลส่วนที่เหลือ ฉันเห็นด้วยกับความตั้งใจ แต่ฉันมีข้อกังวลเล็กน้อยเกี่ยวกับเรื่องนี้: เนื่องจากเราสร้างรหัสผ่านเรามีหน้าที่ตรวจสอบให้แน่ใจว่ารหัสผ่านนั้นแข็งแรงพอ จากประสบการณ์ของฉันเมื่อเผชิญหน้ากับรหัสผ่านที่ไม่สามารถเข้าใจได้ผู้ใช้มักจะจดไว้ในโพสต์ ผู้ใช้ที่ไม่ได้เขียนรหัสผ่านมีแนวโน้มที่จะลืมมัน ซึ่งหมายความว่าพวกเขาจะต้องขอรหัสผ่านใหม่เป็นประจำและไม่สนุกสำหรับทุกคน อย่างไรก็ตามเมื่อพิจารณาถึงคุณภาพทั่วไปของรหัสผ่านที่สร้างโดยผู้ใช้และความจริงที่ว่ามีคนจำนวนมากเกินไปที่จะใช้รหัสผ่านเดียวกันสำหรับทุกอย่าง ('ตัวสั่น') ฉันสามารถดูได้ว่าการสร้างรหัสผ่านที่แข็งแกร่งสำหรับพวกเขา ฉันยังรู้สึกขาดมัน เรากำลังทำงานบนเว็บไซต์ร้านค้าที่ผู้ใช้มีตัวเลือกในการบันทึกรายละเอียดบัตรเครดิตของเขาดังนั้นจึงเป็นสิ่งสำคัญอย่างยิ่งที่เราต้องใช้วิธีการที่ปลอดภัยที่สุด

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.