不知道我的看法对不对,希望跟大家讨论下
1
NewYear 320 天前
这个规则是双刃剑。
现在各种 APP/网站,要求的规则都不一样,于是普通人要记很多密码。回头就忘记了。别说什么密码管理器,我说的是大多数普通人。 所以手机号验证短信作为反而是更好的方案。 |
2
MarsCloud 320 天前
@NewYear #1 如果依赖于机号验证短信,那么锁屏密码就变成了唯一的密码了;
之前思考过一种情况,如果能够拦截一个人的短信,那么是否这个人所有的网络信息都可以被窃取到。 |
3
009694 320 天前 3
数字完全不允许重复是把风控完全抛给用户的粗暴设计。 根本不在乎用户能不能记得住,也不在乎用户找额外的手段例如手写 备忘录 app 等方式造成的泄漏高风险。 面对用户质疑他们只会回应“我们要求密码足够复杂了,你记不住你泄漏了责任是你”
|
4
009694 320 天前
很显然对不同的操作有不同的风控等级,直接让用户所有操作都走最高置信度的验证是不必要而且增加泄漏风险的。密码 短信 人脸识别。多种方式根据不同风控等级组合使用才是正解
|
5
sunrisewestern 320 天前 1
不放回抽取,如果知道这个规则岂不是更好破解
|
7
rio 320 天前
天天琢磨这个不如想想怎么赶紧支持 passkey
|
9
Perry 320 天前
“如果不允许一个数字被设置 3 次或以上呢,密码组合有多少”
你的计算是不是默认了只有一个数字被重复 2 次?允不允许多个数字重复 2 次? |
10
cnt2ex 320 天前
光从排列组合的数量来讲,并不是能允许的密码数量越多越就越安全。
一个禁止 123456 和 654321 的系统会比不禁止的安全,因为这两密码太常用了。 |
11
dangyuluo 320 天前
任何透露密码相关规则的信息都会使密码暴力破解变得更容易
|
12
lizhengbo 320 天前
其实也还好, 如果是证劵 APP, 正常都是直接起一个超级变态密码, 然后短信登录.
相当于变相阉割密码, 跟政府网站差不多. |
13
MozzieW 320 天前 1
四位或者 6 位数字,人为减少概率就不是一个好主意。本来是 10*10*10*10 ,强行改为 10*9*8*7.
如果是简单密码的,所有四位数字都是简单密码,1234 算不算,5678 算不算。 不会就抄,学手机锁屏加上失败等待时间。 |
14
bianhui 320 天前
这应该是初中数学题吧
|
15
irainsoft 320 天前
鸡蛋不要放同一个篮子,正常的密码强度要求+强制二步验证普通但实用
|
16
hdp5252 320 天前 via Android 1
强烈反对手机短信 用邮箱就很好 只要你邮箱够安全
|
18
NoOneNoBody 320 天前 1
其实划线密码就相当于九宫格数字不允许重复
|
19
xuanbg 320 天前
短信验证码也太费钱了……我们推荐微信扫码登录
|
21
zlkent 320 天前
密码规则和大部分网站要求不一样,结果就是用户得想个新密码,如果你的服务不是那种高频率刚需,那么这个密码很快就会被用户忘掉,然后要么不用了,要么走繁琐的找回密码,但迟早还是会忘。
比如大部分网站密码长度只要 8 位,那么我对于不重要的网站,就固定一个 8 位密码,反正被盗也无所谓,不重要。但如果突然一个网站要我 11 位密码,那我就得换密码,然后....就没然后了。对网站来说,密码不被盗是很重要的事情,但如果用户自己都记不住,设这个复杂的密码又有何意义。还不如搞 2FA ,让用户自己决定多一层安全保障。 |
22
duron600 320 天前
密码根本不需要规则。
|
23
loolac 320 天前
限制规则 = 可用密码总数量减少 = 统计数据上,爆破速度更快了
|
26
xausky 320 天前
@xubingok 为什么要破解你的锁屏?,拿到你手机直接拔出 sim 卡,插入自动化设备,自动的就把你所有网络账号信息全部破解了,能转账的转账,能买东西的买东西,能借款的借款。
|
27
hellomynameis 320 天前
|
29
xubingok 320 天前
|
30
bojackhorseman 320 天前
银行 App 登录密码设置的麻烦又记不住,而且不能自动添加到系统钥匙库中,所以需要重登录我就重置密码。
|
31
ReZer0 320 天前
大多数网站或软件的要求,包括但不限于以下这些要求。反正对于普通人来说确实是噩梦,所以手机验证码登录的确一定程度上是一种有效且”懒人“的做法,至少可以不用被各个网站的密码要求”绑架“而去强迫输入一些自己根本不会去记的密码规则。
不允许重复数字 不允许连续数字 密码过短 不允许纯数字 需要英文+数字 密码首字母必须大写 需要英文大小写+数字 需要英文大小写+数字+符号 不允许使用纯英文 |
32
EchoUtopia OP @Perry 只允许一个数字被重复一次,例如 1122 就不行,刚刚算错了,重新算了下
|
33
nothingistrue 319 天前
@NewYear #1
@zpxshl #6 第一,包括手机短信在内的任何 2FA 手段,它们的安全性都不如密码,即使密码已经泄漏成了筛子。2FA 的设计目标就是如此,它是用来作为密码之后的第二道辅助措施(为了便利性,2FA 连多重密码都算不上),不是用来替代密码的。 第二,手机短信是 2FA 措施当中,最不安全的那个,技术上和社工上,断行验证码都非常容易被突破,就是个渣滓。 第三,你们要的是免密登录,而现行免密登录措施,不管是传统的加密狗、U 盾,还是现行国外流行的 Microsoft Authenticator 及各种 FIFO ,还有国内流行的刷脸,本质上都是物理密钥,而物理密钥的本质是超长位、不可轻易复制的密码。这还是密码,只不过只能用物理介质输入,不用也不允许你手动输入而已。(注意:Windows Hello ,手机指纹解锁这些,是本地 pin ,不是网络登录,不再讨论范围内。) 最后请切记:便利和安全,不可兼得。 |
34
shyling 319 天前
暴露规则不是替攻击做排除法吗
|
36
nuk 319 天前
不好,和密码必须要包含大小写字母、数字和特殊字符一样。完全脑瘫设计,就像住进一个小区,物业规定家里大门必须用三层的防弹合金大门,否则不让搬进来。结果等搬进去了,他妈是个小偷就能从窗口翻进来把家偷光。
|
37
zypy333 319 天前
还有更麻烦的,强制要求第一位大写,第二位小写,然后 6 位数字
|
38
cenbiq 319 天前
@nothingistrue 你是说 TOTP 吧
|
39
adoal 319 天前
大部分搞安全的人懂个屁的安全
|
40
mrjnamei 319 天前
id 很熟啊
|
41
misdake 319 天前 via Android
Enigma 的破译很大程度上就依赖输入字符和输出字符必然不相同这个特点(漏洞)。
这类不增加可选空间的负面规则基本上就是替破解者去掉错误选项。 |
42
ltkun 319 天前 via Android
自从用上了密码管理器 就不再用自己的密码了 20 位 大小写数字特殊字符 想记住也不可能
|
44
Richared 319 天前
所以说,实体 sim 卡并不安全,手机丢了慌的要死。(别跟我犟 sim 卡也有密码,你要犟那就是你对。)
|
45
GeekGao 319 天前
第一眼,腾讯 QQ 的密码规则。。。。
|
46
ShuWei 319 天前
作为用户,怎么有这么傻逼的设定
|
47
stobacco 318 天前
@xausky #26 可以设置 pin 码的,插入就得重新解锁才能使用 sim 卡: https://m.news.cctv.com/2020/10/20/ARTImimTxZHgocJro8bsmQQq201020.shtml
|
48
mikywei 313 天前
设置强密码复杂度不是最好的方式,但确是成本最低的,反正浪费员工时间又不额外花老板的钱。除非老板也跟你一样用这样的方式,不然老板是丝毫不关心的。
|
49
EchoUtopia OP @mikywei 那种包含大小写字母的要求密码复杂度我觉得没毛病,那种一般也会有最小长度限制,但是这种 6 位纯数字不科学。
|
50
jim9606 307 天前
你如果只是想防一下简单模式密码,可以考虑下密码强度检测库 zxcvbn
禁止重复数字看上去就不是好主意,因为大幅缩小了值域。 按 NIST 的新版指南,长度是最好增加复杂度的方式,哪怕是拿诗词全拼当密码强度也很高,长度轻松超 16 位还好记,所以不要严格限制长密码。 https://github.com/dropbox/zxcvbn |