首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  信息安全

那些对密码强度要求变态的网站真烦人

  •  
  •   boluo · 152 天前 · 2337 次点击
    这是一个创建于 152 天前的主题,其中的信息可能已经有所发展或是发生改变。

    要求密码长度也就算了,最烦人的是要求同时包含大小写字母加数字加特殊符号的。。我也得记得住啊

    32 回复  |  直到 2018-11-24 19:30:06 +08:00
        1
    Hellert   152 天前   ♥ 3
    1Password 毫无压力 😁
        2
    honeycomb   152 天前 via Android
    但这是正确的
        3
    lcatt   152 天前
    @honeycomb 不,20 位的字符串比 10 位的大小写字母加数字加特殊符号安全的多,字符串可以用英文或者拼音记忆
        4
    boluo   152 天前
    @honeycomb 关键是有些网站你输错几次密码以后就要求你重置,然后还不能与之前 N 次使用的密码一样。。。
        5
    ligulfzhou53   152 天前
    自己定点规则就好了

    我的密码都会包含 符号+大写字母+小写字母+数字 ,而且每个网站都不一样。。。

    有的网站有支付密码的,又是在原基础上加入一些字母。。
        6
    tabris17   152 天前   ♥ 2
    密码强度对于安全性根本没有影响,安全问题都是在于网站明文保存用户密码而导致的
        7
    saran   152 天前 via Android
    @boluo 还有网站会不定期让你更改密码,比如 fb 之流。
        8
    xiaojunjor   152 天前
    是的,就因为这个原因我 tumblr 密码总忘,然后。。。。嗯?等会
        9
    honeycomb   152 天前 via Android
    @lcatt 可是 20 位的大小写字母加数字加特殊符号的密码就比 20 位的字符串安全的多。

    所以问题是,密码长度也仅是密码复杂性策略的一部分。至于怎么记忆 20 位长的字符串并不能由密码策略量化出来,所以你的方案有效却不适用于密码安全策略。

    @boluo 这个密码重置的策略还是对的。
        10
    Heiban   152 天前 via iPhone
    @xiaojunjor 好像暴露了什么🤔……
        11
    lcatt   152 天前
    @honeycomb 不,我就指的就破解难度。至于你说密码安全策略,
    美国国家科学技术研究所现在已经更新了密码指南,你可以自行搜索:
    ■不要重复使用密码
    ■大小写字母组合密码没有想象的安全,意义不大
    ■更好的选择是很长但易记的密码,或者短语,比如说“ shangfangwenqlovesmydirvers ”就比“ Wohao5huA!”难以破解得多。
    ■更安全的办法是使用双重验证,比如登陆短信确认
    @saran 定期修改密码的建议也是错误的,因为大多数人往往只会更改一个字母, 而这样做根本无法阻止黑客攻击。
        12
    byis   152 天前 via Android
    忘记密码 已经是月经问题了
        13
    scarletmu   152 天前
    lastpass 生成个强密码让他存着
        14
    YvesX   152 天前
    注册账号。
    设置一个复杂的密码。
    忘记密码。
    找回账号。
    设置一个复杂的新密码。
    您的新密码不能与旧密码相同 <- 通常在这里
        15
    AzadCypress   152 天前 via Android   ♥ 1
    可以加个固定后缀比如 H+1s
    大小写数字字符都有
        16
    kernel   152 天前
    这比有些网站要求不能输入标点这类的进密码好
        17
    lengyihan   152 天前 via Android
    keepass 不错
        18
    Luckyray   152 天前
    还有像微博这种逼你换到自己也记不住为止.....
        19
    656002674   152 天前
    @boluo 不能与之前密码相同这一点,微博就是这么做的。不知道微博是怎么想的。
        20
    ggmood   152 天前
    @xiaojunjor 嘿嘿嘿
        21
    orangeade   152 天前
    @lcatt #11 短信这一点就错了,不说 SS7 漏洞,伪基站破坏就够大了
        22
    honeycomb   152 天前 via Android
    @lcatt 你说的是正确的,但是和主题没什么关系,你讲破解难度,主题讲密码策略。

    现在的问题是,网站难以实施你所指出密码策略(不包括 2FA ),比如,网站要求必须使用超过 16 位,不出现简单重复特征(比如 1122334455667788 )的密码,这个要求可能比楼主遇到的更难以令人接受
        23
    whitev2   152 天前
    原密码+1s
        24
    lada04   152 天前
    @xiaojunjor #8 汤不热现在已经变成黄展代名词,没正常用途了么
        25
    loveour   152 天前
    @lcatt #11 其实就是之前的密码要求没有考虑到人性,那种要求定期修改密码的,要么和原来差不多,要么就越改越简单了。感觉还是得靠一些验证手段,比如二次验证,物理密钥,App 之类。
        26
    QQ842562342   152 天前
    @boluo 你说的是 facebook 吗???
        27
    xiangbohua   152 天前 via iPhone
    @xiaojunjor 借一部说话
        28
    miniliuke   152 天前 via Android
    @whitev2 值得借鉴就差个小写字母
        29
    takato   152 天前
    1P 就是用来解决此类螺丝场景的扳手。。= =。。
        30
    xschaoya   152 天前 via Android
    一段汉字语句,转成拼音,再配合自定义规则接上网站域名之类的
        31
    jackantony   151 天前
    Dashlane 比 1P 好用
        32
    exev2   151 天前
    老哥,你这牢骚发的让人很无奈啊,真不知道有密码管理器这东西吗?
    还可以防止撞库,几百位的乱码都没问题,何况常见的多数网站都在三十位以内。
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   2700 人在线   最高记录 5043   ·  
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 20ms · UTC 14:12 · PVG 22:12 · LAX 07:12 · JFK 10:12
    ♥ Do have faith in what you're doing.
    沪ICP备16043287号-1