V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
EchoUtopia
V2EX  ›  信息安全

数字密码不允许有重复的数字是个好的设计吗?

  •  
  •   EchoUtopia · 354 天前 · 5394 次点击
    这是一个创建于 354 天前的主题,其中的信息可能已经有所发展或是发生改变。

    Medium:数字密码不允许有重复的数字是个好的设计吗?

    不知道我的看法对不对,希望跟大家讨论下

    第 1 条附言  ·  354 天前
    只允许重复一次算错了,重新算了一下,感觉这次应该算对了:)
    50 条回复    2024-01-21 23:54:24 +08:00
    NewYear
        1
    NewYear  
       354 天前
    这个规则是双刃剑。

    现在各种 APP/网站,要求的规则都不一样,于是普通人要记很多密码。回头就忘记了。别说什么密码管理器,我说的是大多数普通人。

    所以手机号验证短信作为反而是更好的方案。
    MarsCloud
        2
    MarsCloud  
       354 天前
    @NewYear #1 如果依赖于机号验证短信,那么锁屏密码就变成了唯一的密码了;
    之前思考过一种情况,如果能够拦截一个人的短信,那么是否这个人所有的网络信息都可以被窃取到。
    009694
        3
    009694  
       354 天前   ❤️ 3
    数字完全不允许重复是把风控完全抛给用户的粗暴设计。 根本不在乎用户能不能记得住,也不在乎用户找额外的手段例如手写 备忘录 app 等方式造成的泄漏高风险。 面对用户质疑他们只会回应“我们要求密码足够复杂了,你记不住你泄漏了责任是你”
    009694
        4
    009694  
       354 天前
    很显然对不同的操作有不同的风控等级,直接让用户所有操作都走最高置信度的验证是不必要而且增加泄漏风险的。密码 短信 人脸识别。多种方式根据不同风控等级组合使用才是正解
    sunrisewestern
        5
    sunrisewestern  
       354 天前   ❤️ 1
    不放回抽取,如果知道这个规则岂不是更好破解
    zpxshl
        6
    zpxshl  
       354 天前 via Android
    @MarsCloud 相比漫天遍野的密码泄露,短信反而是比较安全的
    rio
        7
    rio  
       354 天前
    天天琢磨这个不如想想怎么赶紧支持 passkey
    Donaldo
        8
    Donaldo  
       354 天前
    @MarsCloud #2 手机端防一下伪基站这个问题会得到不少缓解,如果没有的话,你说的这个风险确实挺大。
    Perry
        9
    Perry  
       354 天前
    “如果不允许一个数字被设置 3 次或以上呢,密码组合有多少”

    你的计算是不是默认了只有一个数字被重复 2 次?允不允许多个数字重复 2 次?
    cnt2ex
        10
    cnt2ex  
       354 天前
    光从排列组合的数量来讲,并不是能允许的密码数量越多越就越安全。

    一个禁止 123456 和 654321 的系统会比不禁止的安全,因为这两密码太常用了。
    dangyuluo
        11
    dangyuluo  
       354 天前
    任何透露密码相关规则的信息都会使密码暴力破解变得更容易
    lizhengbo
        12
    lizhengbo  
       354 天前
    其实也还好, 如果是证劵 APP, 正常都是直接起一个超级变态密码, 然后短信登录.

    相当于变相阉割密码, 跟政府网站差不多.
    MozzieW
        13
    MozzieW  
       354 天前   ❤️ 1
    四位或者 6 位数字,人为减少概率就不是一个好主意。本来是 10*10*10*10 ,强行改为 10*9*8*7.

    如果是简单密码的,所有四位数字都是简单密码,1234 算不算,5678 算不算。

    不会就抄,学手机锁屏加上失败等待时间。
    bianhui
        14
    bianhui  
       354 天前
    这应该是初中数学题吧
    irainsoft
        15
    irainsoft  
       354 天前
    鸡蛋不要放同一个篮子,正常的密码强度要求+强制二步验证普通但实用
    hdp5252
        16
    hdp5252  
       354 天前 via Android   ❤️ 1
    强烈反对手机短信 用邮箱就很好 只要你邮箱够安全
    murmur
        17
    murmur  
       354 天前
    @hdp5252 登录邮箱不一样要输密码,而且邮箱被入侵了丢的东西更严重,比如设置了自动转发到盗号者信箱
    NoOneNoBody
        18
    NoOneNoBody  
       354 天前   ❤️ 1
    其实划线密码就相当于九宫格数字不允许重复
    xuanbg
        19
    xuanbg  
       354 天前
    短信验证码也太费钱了……我们推荐微信扫码登录
    sjtulyj
        20
    sjtulyj  
       354 天前
    @NewYear 手机一停机不就完蛋了
    zlkent
        21
    zlkent  
       354 天前
    密码规则和大部分网站要求不一样,结果就是用户得想个新密码,如果你的服务不是那种高频率刚需,那么这个密码很快就会被用户忘掉,然后要么不用了,要么走繁琐的找回密码,但迟早还是会忘。
    比如大部分网站密码长度只要 8 位,那么我对于不重要的网站,就固定一个 8 位密码,反正被盗也无所谓,不重要。但如果突然一个网站要我 11 位密码,那我就得换密码,然后....就没然后了。对网站来说,密码不被盗是很重要的事情,但如果用户自己都记不住,设这个复杂的密码又有何意义。还不如搞 2FA ,让用户自己决定多一层安全保障。
    duron600
        22
    duron600  
       354 天前
    密码根本不需要规则。
    loolac
        23
    loolac  
       354 天前
    限制规则 = 可用密码总数量减少 = 统计数据上,爆破速度更快了
    xubingok
        24
    xubingok  
       354 天前
    @MarsCloud
    如果把指纹,人脸等方式算进来的话,锁屏密码是一个安全性非常高的手段了.
    用这样的一个密码+手机短信来维护所有网络信息我觉得也可以接受.
    iszhouyu
        25
    iszhouyu  
       354 天前   ❤️ 1
    @hdp5252 "什么邮箱,我家里没有啊,要去邮政局吗,年轻人的东西花里胡哨,我搞不懂"
    xausky
        26
    xausky  
       354 天前
    @xubingok 为什么要破解你的锁屏?,拿到你手机直接拔出 sim 卡,插入自动化设备,自动的就把你所有网络账号信息全部破解了,能转账的转账,能买东西的买东西,能借款的借款。
    xubingok
        28
    xubingok  
       354 天前
    @xausky
    讨论的难道不是密码设计问题吗?你这都物理手段了,谁也防不住啊.或者虚拟 SIM 卡可以挡一波?
    xubingok
        29
    xubingok  
       354 天前
    @hellomynameis
    新闻之所以能成为新闻,就是因为其不具备普适性...
    再说手机安全的事交给厂商就完事儿了.
    bojackhorseman
        30
    bojackhorseman  
       354 天前
    银行 App 登录密码设置的麻烦又记不住,而且不能自动添加到系统钥匙库中,所以需要重登录我就重置密码。
    ReZer0
        31
    ReZer0  
       354 天前
    大多数网站或软件的要求,包括但不限于以下这些要求。反正对于普通人来说确实是噩梦,所以手机验证码登录的确一定程度上是一种有效且”懒人“的做法,至少可以不用被各个网站的密码要求”绑架“而去强迫输入一些自己根本不会去记的密码规则。

    不允许重复数字
    不允许连续数字
    密码过短
    不允许纯数字
    需要英文+数字
    密码首字母必须大写
    需要英文大小写+数字
    需要英文大小写+数字+符号
    不允许使用纯英文
    EchoUtopia
        32
    EchoUtopia  
    OP
       354 天前
    @Perry 只允许一个数字被重复一次,例如 1122 就不行,刚刚算错了,重新算了下
    nothingistrue
        33
    nothingistrue  
       354 天前
    @NewYear #1
    @zpxshl #6

    第一,包括手机短信在内的任何 2FA 手段,它们的安全性都不如密码,即使密码已经泄漏成了筛子。2FA 的设计目标就是如此,它是用来作为密码之后的第二道辅助措施(为了便利性,2FA 连多重密码都算不上),不是用来替代密码的。

    第二,手机短信是 2FA 措施当中,最不安全的那个,技术上和社工上,断行验证码都非常容易被突破,就是个渣滓。

    第三,你们要的是免密登录,而现行免密登录措施,不管是传统的加密狗、U 盾,还是现行国外流行的 Microsoft Authenticator 及各种 FIFO ,还有国内流行的刷脸,本质上都是物理密钥,而物理密钥的本质是超长位、不可轻易复制的密码。这还是密码,只不过只能用物理介质输入,不用也不允许你手动输入而已。(注意:Windows Hello ,手机指纹解锁这些,是本地 pin ,不是网络登录,不再讨论范围内。)

    最后请切记:便利和安全,不可兼得。
    shyling
        34
    shyling  
       353 天前
    暴露规则不是替攻击做排除法吗
    xausky
        35
    xausky  
       353 天前
    @xubingok 传统的密码或者密码管理器可以防住呀,有主密码加密,不依赖硬件,无法物理破解,sim 卡真的很不安全
    nuk
        36
    nuk  
       353 天前
    不好,和密码必须要包含大小写字母、数字和特殊字符一样。完全脑瘫设计,就像住进一个小区,物业规定家里大门必须用三层的防弹合金大门,否则不让搬进来。结果等搬进去了,他妈是个小偷就能从窗口翻进来把家偷光。
    zypy333
        37
    zypy333  
       353 天前
    还有更麻烦的,强制要求第一位大写,第二位小写,然后 6 位数字
    cenbiq
        38
    cenbiq  
       353 天前
    @nothingistrue 你是说 TOTP 吧
    adoal
        39
    adoal  
       353 天前
    大部分搞安全的人懂个屁的安全
    mrjnamei
        40
    mrjnamei  
       353 天前
    id 很熟啊
    misdake
        41
    misdake  
       353 天前 via Android
    Enigma 的破译很大程度上就依赖输入字符和输出字符必然不相同这个特点(漏洞)。
    这类不增加可选空间的负面规则基本上就是替破解者去掉错误选项。
    ltkun
        42
    ltkun  
       353 天前 via Android
    自从用上了密码管理器 就不再用自己的密码了 20 位 大小写数字特殊字符 想记住也不可能
    aitianci
        43
    aitianci  
       353 天前
    @iszhouyu #25 我这边真的是重置密码银行会发一封信到你的邮箱,邮递员送过来你拿到密码才能用
    Richared
        44
    Richared  
       353 天前
    所以说,实体 sim 卡并不安全,手机丢了慌的要死。(别跟我犟 sim 卡也有密码,你要犟那就是你对。)
    GeekGao
        45
    GeekGao  
       353 天前
    第一眼,腾讯 QQ 的密码规则。。。。
    ShuWei
        46
    ShuWei  
       353 天前
    作为用户,怎么有这么傻逼的设定
    stobacco
        47
    stobacco  
       352 天前
    @xausky #26 可以设置 pin 码的,插入就得重新解锁才能使用 sim 卡: https://m.news.cctv.com/2020/10/20/ARTImimTxZHgocJro8bsmQQq201020.shtml
    mikywei
        48
    mikywei  
       347 天前
    设置强密码复杂度不是最好的方式,但确是成本最低的,反正浪费员工时间又不额外花老板的钱。除非老板也跟你一样用这样的方式,不然老板是丝毫不关心的。
    EchoUtopia
        49
    EchoUtopia  
    OP
       347 天前
    @mikywei 那种包含大小写字母的要求密码复杂度我觉得没毛病,那种一般也会有最小长度限制,但是这种 6 位纯数字不科学。
    jim9606
        50
    jim9606  
       341 天前
    你如果只是想防一下简单模式密码,可以考虑下密码强度检测库 zxcvbn
    禁止重复数字看上去就不是好主意,因为大幅缩小了值域。
    按 NIST 的新版指南,长度是最好增加复杂度的方式,哪怕是拿诗词全拼当密码强度也很高,长度轻松超 16 位还好记,所以不要严格限制长密码。

    https://github.com/dropbox/zxcvbn
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2785 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 03:15 · PVG 11:15 · LAX 19:15 · JFK 22:15
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.