V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
boluo
V2EX  ›  信息安全

那些对密码强度要求变态的网站真烦人

  •  
  •   boluo · 2018-11-23 13:16:02 +08:00 · 6792 次点击
    这是一个创建于 2193 天前的主题,其中的信息可能已经有所发展或是发生改变。

    要求密码长度也就算了,最烦人的是要求同时包含大小写字母加数字加特殊符号的。。我也得记得住啊

    32 条回复    2018-11-24 19:30:06 +08:00
    Hellert
        1
    Hellert  
       2018-11-23 13:17:52 +08:00   ❤️ 3
    1Password 毫无压力 😁
    honeycomb
        2
    honeycomb  
       2018-11-23 13:18:46 +08:00 via Android
    但这是正确的
    lcatt
        3
    lcatt  
       2018-11-23 13:21:17 +08:00
    @honeycomb 不,20 位的字符串比 10 位的大小写字母加数字加特殊符号安全的多,字符串可以用英文或者拼音记忆
    boluo
        4
    boluo  
    OP
       2018-11-23 13:21:26 +08:00
    @honeycomb 关键是有些网站你输错几次密码以后就要求你重置,然后还不能与之前 N 次使用的密码一样。。。
    ligulfzhou53
        5
    ligulfzhou53  
       2018-11-23 13:25:35 +08:00
    自己定点规则就好了

    我的密码都会包含 符号+大写字母+小写字母+数字 ,而且每个网站都不一样。。。

    有的网站有支付密码的,又是在原基础上加入一些字母。。
    tabris17
        6
    tabris17  
       2018-11-23 13:31:06 +08:00   ❤️ 2
    密码强度对于安全性根本没有影响,安全问题都是在于网站明文保存用户密码而导致的
    saran
        7
    saran  
       2018-11-23 13:33:10 +08:00 via Android
    @boluo 还有网站会不定期让你更改密码,比如 fb 之流。
    xiaojunjor
        8
    xiaojunjor  
       2018-11-23 13:33:31 +08:00
    是的,就因为这个原因我 tumblr 密码总忘,然后。。。。嗯?等会
    honeycomb
        9
    honeycomb  
       2018-11-23 13:34:57 +08:00 via Android
    @lcatt 可是 20 位的大小写字母加数字加特殊符号的密码就比 20 位的字符串安全的多。

    所以问题是,密码长度也仅是密码复杂性策略的一部分。至于怎么记忆 20 位长的字符串并不能由密码策略量化出来,所以你的方案有效却不适用于密码安全策略。

    @boluo 这个密码重置的策略还是对的。
    Heiban
        10
    Heiban  
       2018-11-23 13:35:26 +08:00 via iPhone
    @xiaojunjor 好像暴露了什么🤔……
    lcatt
        11
    lcatt  
       2018-11-23 13:40:59 +08:00
    @honeycomb 不,我就指的就破解难度。至于你说密码安全策略,
    美国国家科学技术研究所现在已经更新了密码指南,你可以自行搜索:
    ■不要重复使用密码
    ■大小写字母组合密码没有想象的安全,意义不大
    ■更好的选择是很长但易记的密码,或者短语,比如说“ shangfangwenqlovesmydirvers ”就比“ Wohao5huA!”难以破解得多。
    ■更安全的办法是使用双重验证,比如登陆短信确认
    @saran 定期修改密码的建议也是错误的,因为大多数人往往只会更改一个字母, 而这样做根本无法阻止黑客攻击。
    byis
        12
    byis  
       2018-11-23 14:00:20 +08:00 via Android
    忘记密码 已经是月经问题了
    scarletmu
        13
    scarletmu  
       2018-11-23 14:06:18 +08:00
    lastpass 生成个强密码让他存着
    YvesX
        14
    YvesX  
       2018-11-23 14:11:55 +08:00
    注册账号。
    设置一个复杂的密码。
    忘记密码。
    找回账号。
    设置一个复杂的新密码。
    您的新密码不能与旧密码相同 <- 通常在这里
    AzadCypress
        15
    AzadCypress  
       2018-11-23 14:11:58 +08:00 via Android   ❤️ 1
    可以加个固定后缀比如 H+1s
    大小写数字字符都有
    kernel
        16
    kernel  
       2018-11-23 14:12:03 +08:00
    这比有些网站要求不能输入标点这类的进密码好
    lengyihan
        17
    lengyihan  
       2018-11-23 14:35:40 +08:00 via Android
    keepass 不错
    Luckyray
        18
    Luckyray  
       2018-11-23 14:59:47 +08:00
    还有像微博这种逼你换到自己也记不住为止.....
    656002674
        19
    656002674  
       2018-11-23 15:16:30 +08:00
    @boluo 不能与之前密码相同这一点,微博就是这么做的。不知道微博是怎么想的。
    ggmood
        20
    ggmood  
       2018-11-23 15:32:35 +08:00
    @xiaojunjor 嘿嘿嘿
    orangeade
        21
    orangeade  
       2018-11-23 15:39:38 +08:00
    @lcatt #11 短信这一点就错了,不说 SS7 漏洞,伪基站破坏就够大了
    honeycomb
        22
    honeycomb  
       2018-11-23 16:01:40 +08:00 via Android
    @lcatt 你说的是正确的,但是和主题没什么关系,你讲破解难度,主题讲密码策略。

    现在的问题是,网站难以实施你所指出密码策略(不包括 2FA ),比如,网站要求必须使用超过 16 位,不出现简单重复特征(比如 1122334455667788 )的密码,这个要求可能比楼主遇到的更难以令人接受
    whitev2
        23
    whitev2  
       2018-11-23 16:18:06 +08:00
    原密码+1s
    lada04
        24
    lada04  
       2018-11-23 16:20:02 +08:00
    @xiaojunjor #8 汤不热现在已经变成黄展代名词,没正常用途了么
    loveour
        25
    loveour  
       2018-11-23 16:23:51 +08:00
    @lcatt #11 其实就是之前的密码要求没有考虑到人性,那种要求定期修改密码的,要么和原来差不多,要么就越改越简单了。感觉还是得靠一些验证手段,比如二次验证,物理密钥,App 之类。
    QQ842562342
        26
    QQ842562342  
       2018-11-23 16:30:21 +08:00
    @boluo 你说的是 facebook 吗???
    xiangbohua
        27
    xiangbohua  
       2018-11-23 17:16:45 +08:00 via iPhone
    @xiaojunjor 借一部说话
    miniliuke
        28
    miniliuke  
       2018-11-23 17:40:46 +08:00 via Android
    @whitev2 值得借鉴就差个小写字母
    takato
        29
    takato  
       2018-11-23 17:45:38 +08:00
    1P 就是用来解决此类螺丝场景的扳手。。= =。。
    xschaoya
        30
    xschaoya  
       2018-11-23 18:47:22 +08:00 via Android
    一段汉字语句,转成拼音,再配合自定义规则接上网站域名之类的
    jackantony
        31
    jackantony  
       2018-11-24 03:37:01 +08:00
    Dashlane 比 1P 好用
    exev2
        32
    exev2  
       2018-11-24 19:30:06 +08:00
    老哥,你这牢骚发的让人很无奈啊,真不知道有密码管理器这东西吗?
    还可以防止撞库,几百位的乱码都没问题,何况常见的多数网站都在三十位以内。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2844 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 09:24 · PVG 17:24 · LAX 01:24 · JFK 04:24
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.