V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
这是一个专门讨论 idea 的地方。

每个人的时间,资源是有限的,有的时候你或许能够想到很多 idea,但是由于现实的限制,却并不是所有的 idea 都能够成为现实。

那这个时候,不妨可以把那些 idea 分享出来,启发别人。
innoink
V2EX  ›  奇思妙想

其实密码规则过于严苛也有坏处

  •  
  •   innoink · 2018-09-20 13:32:16 +08:00 · 5194 次点击
    这是一个创建于 2016 天前的主题,其中的信息可能已经有所发展或是发生改变。

    特别是规模较大的组织,内部账号密码要求各种大小写英文数字特殊字符组合,每隔几个月换一次,还不能重复使用,破解难度是增大了,但是考虑到常人是记不住这种密码的,所以很多人会选择把密码记到纸条或文本里,这样泄漏的风险要大得多。密码之所以有保护作用,本质上还是存储在大脑里的安全性。

    25 条回复    2018-09-25 16:51:29 +08:00
    xenme
        1
    xenme  
       2018-09-20 13:42:24 +08:00 via iPhone
    前面固定,后面 0-9a-z 够用到离职了。

    复杂密码主要是避免 123456 等等常见弱密码和增加破解难度
    wu67
        2
    wu67  
       2018-09-20 13:48:50 +08:00
    其实就我用过的密码而言, 复杂的都忘记了, 只有简单的能记住. 那些强行要求复杂密码的产品, 根本就是为难用户
    lengyihan
        3
    lengyihan  
       2018-09-20 14:09:25 +08:00 via Android
    现代密码学的观点是可以公开加密算法,公开密文,保留加密秘钥。😂其实用密码管理器不错的
    luoway
        4
    luoway  
       2018-09-20 14:14:06 +08:00
    没有人会因为被要求定期改密码就使用不同密码的,都是在原有密码基础上变动,看明文就能猜出来基础密码是什么
    mytry
        5
    mytry  
       2018-09-20 14:18:10 +08:00
    每次看见要求“大小写英文数字特殊字符组合 == 安全性高”就烦,大部分人加上的符号还不是有规律的,还是低熵口令。事实上一串 16 位的随机数日常应用中就非常安全,除非明文状态泄露。
    blankme
        6
    blankme  
       2018-09-20 14:43:50 +08:00 via Android   ❤️ 1
    与其要求密码复杂,不如限制试错次数,银行卡 6 位数字密码也很安全
    Sor
        7
    Sor  
       2018-09-20 14:46:23 +08:00
    现在不怕密码要求复杂,就怕密码不能粘贴
    whileFalse
        8
    whileFalse  
       2018-09-20 14:47:11 +08:00
    密码对于人来说,只分记得住的和记不住的。记不住的上密码管理器。
    @mytry 说的 16 位随机数密码,属于记不住的,需要上密码管理器,那么是不是纯数字还有区别吗。
    silencefent
        9
    silencefent  
       2018-09-20 14:58:56 +08:00
    adobe 的密码
    请输入您的密码
    您的密码有误
    找回密码
    您的新密码必须和旧密码不同
    密码必须含有大小写字母以及符号和数字

    下一次登陆重复一遍
    同理还有 steam 的密码
    mytry
        10
    mytry  
       2018-09-20 15:05:29 +08:00
    @whileFalse 所以说强制要求大小写英文数字特殊字符组合没意义啊,还不如提示安装一个密码管理器。
    zhangneww
        11
    zhangneww  
       2018-09-20 15:12:26 +08:00
    keepass 了解一下?
    Deville
        12
    Deville  
       2018-09-20 15:21:49 +08:00
    1password 了解一下?
    lightening
        13
    lightening  
       2018-09-20 15:34:29 +08:00
    现在确实一般认为设定复杂的密码规则和要求定期更换密码对安全没有好处。
    ryd994
        14
    ryd994  
       2018-09-20 15:48:01 +08:00 via Android
    密码管理器配合硬件密钥
    不用硬件密钥的话可能有穷举。特别是考虑容易记的话,还可以社工。
    硬件密钥首先别人一般拿不到。就算拿到了,多次错误就会自毁。除非打开芯片,直接黑硅片。这个成本很高而且很难成功。不值得用来对付一般人。
    ryd994
        15
    ryd994  
       2018-09-20 15:52:22 +08:00 via Android
    我们管理生产环境都是用安全工作站的。
    从硬件到网络全都是隔离环境。
    只能用智能卡登录。
    whileFalse
        16
    whileFalse  
       2018-09-20 16:14:21 +08:00
    @mytry 说这个没用。“还不如安装个 Chrome ” “还不如安装个 Win 10 ”;作为产品提供方,用户并不会听你的。
    tuding
        17
    tuding  
       2018-09-20 16:17:54 +08:00
    用一串简单的明文, base64 加密, 再在最后一位加上 0-9a-z
    SoulSleep
        18
    SoulSleep  
       2018-09-20 16:30:53 +08:00
    我司密码要求最近 12 个不重复,每月换一次,我的规则是:

    xxxx 生日 XXXX

    x 代表英文字母~够用了 并不难记
    plqws
        19
    plqws  
       2018-09-20 16:37:53 +08:00
    对于大部分非英语用户来说,让密码支持 Unicode 可以破
    dawn009
        20
    dawn009  
       2018-09-21 07:01:36 +08:00
    dawn009
        21
    dawn009  
       2018-09-21 07:03:22 +08:00
    lanjz
        22
    lanjz  
       2018-09-21 09:14:30 +08:00
    @SoulSleep 固定前缀,然后用年月当后缀
    mintor27
        23
    mintor27  
       2018-09-21 10:02:52 +08:00
    lastpass
    pkokp8
        24
    pkokp8  
       2018-09-21 20:35:43 +08:00 via Android
    *aAzcbmv2ex1809
    1810
    1811
    1812
    1901
    一月一改都记得住
    大小写特殊字符都全了,长度也不低,还能每个网站取缩写,撞库都不怕
    wanwaneryide
        25
    wanwaneryide  
       2018-09-25 16:51:29 +08:00
    密码记到文本里面或者其他什么里面时,并不一定要写全,可以有自己常用的几组数字和几组字母,随机组合(数字或者字母都是当做一个整体),在加上字符。记到文本里面的时候,只用写数字和字母组合的首字母加字符就行了。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   3549 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 04:55 · PVG 12:55 · LAX 21:55 · JFK 00:55
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.