9

Web サイトで強力なパスワードを強制するための多くの手法があります。

  • パスワードがさまざまな複雑さの正規表現を渡すように要求する
  • カジュアルなユーザーが強力なパスワードを持つように、パスワードを自律的に設定する
  • パスワードの有効期限を設定する

一方で、欠点もあります。それらはすべて、ユーザーの生活を楽にしません。つまり、登録数が少なくなります。

では、どのようなテクニックを使用しますか?最高の保護と不便さの比率を提供するのはどれですか?

明確にするために、私は銀行サイトやクレジット カードを保存するサイトについて言及しているわけではありません。まだ登録が必要な人気のある (またはそれほど人気のない) サイトの観点から考えてみてください。

4

8 に答える 8

24

強力なパスワードを強制することは不可能だと思いますが、できるだけ強化するためにできることはたくさんあります。

  • 各パスワードを評価し、スコアやグラフ バーなどの形式でユーザー フィードバックを提供します。
  • 最低パスワード スコアを設定して、ひどいものを除外します
  • 禁止されている、またはパスワードスコアを下げる一般的な単語のリストを用意する

私がよく使う優れたトリックの 1 つは、パスワードの有効期限をパスワード スコアに関連付けることです。したがって、より強力なパスワードを頻繁に変更する必要はありません。これは、ユーザーが選択したパスワードの有効期間についてユーザーに直接フィードバックを提供できる場合に特に効果的です (そして、文字を追加すると日付がどのように影響するかをユーザーが確認できるように動的に更新します)。

于 2008-10-03T17:19:16.203 に答える
8

何も強制しないでください...財務情報やそれと同等に重要なものを保護していない場合はユーザーに強力なパスワードを選択させないでください。

私は、フォーラムなどへの登録が必要な多数のサイトで同じ脆弱なパスワードを使用しています。誰かがそれを推測して、私としてメッセージを投稿できるかどうかはあまり気にしません (また、誰かがそうする動機はあまりないと思います)。それで)。私ができないのは、多数のサイトのさまざまな強力なパスワードを覚えていて、それらを管理するために別のソフトウェアを使用したくないということです。

最善の妥協案は、パスワードの強度に関する何らかのフィードバックをユーザーに表示することです (辞書の単語であるかどうか、さまざまな文字タイプの数、長さなどに基づいて)。

于 2008-10-03T17:17:08.657 に答える
2

なぜそれを実施するのですか?

「パスワード強度メーター」 (入力時のパスワードの強度を示すバー) は、通常、邪魔にならない優れた手段であることがわかりました。セキュリティを気にする人は、パスワードの脆弱性について罪悪感を抱くようになりますが、それほど気にしない人をイライラさせることはありません.

また、今日の脅威モデルで定期的なパスワード変更ポリシーがなぜ悪い考えなのかについての洞察に満ちたエッセイもあります。

于 2008-10-03T17:20:48.883 に答える
2

あなたが言ったように、サイトの種類に大きく依存するのは私の経験です。

銀行や金融の Web サイトを作成している場合、個人データが危険にさらされる可能性があるため、ユーザーは通常、より安全なパスワードを使用しているかどうかを理解しています。

ただし、一般的に多くの個人情報が含まれていないサイトでは、より単純なパスワードで問題ありません。彼らはハッキングの試みを受けにくいかもしれませんし、とにかく価値のあるものは何も得られません.

また、ほとんどの人は、よく使うパスワードをいくつか持っているように見えることもわかりました。1 つは複雑で、もう 1 つは単純です。そのため、複雑なパスワードを使用するように要求しても、通常は登録が妨げられることはありません。

有効期限が切れるパスワードが正常に機能することはありません。前に言ったように、多くの人はよく使うパスワードをすでにいくつか設定しているので、あなたのサイトのためだけにこれ以外に行くように頼むと、彼らは戻ってきたくないかもしれません.

于 2008-10-03T17:23:22.107 に答える
1

最善の方法は、サイトと使用しているものによって異なります。しかし、理想的な方法は、クライアントが送信する前にクライアント側でできる限り多くのことを行うことです。正規表現を使用するのは良い方法です。フォームを再度送信する必要がないようにすることができれば、それが理想的です。

于 2008-10-03T17:16:52.573 に答える
1

パスワードの有効期限が切れるのを許す場合、この慣行には 2 つの注目すべき問題があります。

  • ユーザーは自分の現在のパスワードを思い出すのが難しくなるため、モニターに貼り付けたポストイットにパスワードを書き込むなど、ばかげたことをする可能性が高くなります。
  • ユーザーは、パスワードを試行するたびに、強力で無関係な新しいパスワードを生成しません。ほとんどの場合、彼らは何らかのスキームを使用して、古いパスワードと同様のパスワードを生成します。したがって、攻撃者が古いパスワードを取得した場合でも、新しいパスワードを推測することは非常に簡単です。

編集:これは、私がその考え全体に反対していると言っているわけではありませんが、これは他の要因とともに考慮する必要があるということです.

于 2008-10-03T17:18:14.317 に答える
1

PasswordStrength という Ajax ツールがあり、ユーザーのパスワードが適切かどうかを判断できます。パスワードの作成を禁止する必要がないので気に入っています。

http://www.asp.net/AJAX/AjaxControlToolkit/Samples/PasswordStrength/PasswordStrength.aspx

于 2008-10-03T17:51:54.233 に答える
0

これが行われるのを見たことがありませんが、うまく機能するようです。パスワード作成ページには、たとえば50の最も一般的なパスワードの拡張可能なリストがあり、ユーザーはパスワードを入力する前に少し下にスクロールする必要があります。 。これをチェッカーの提案と組み合わせると、不注意な選択を防ぐのに大いに役立ちます。

ただし、パスワードの再利用を防ぐという問題を解決する...手がかりはありません。

于 2008-10-04T17:37:20.517 に答える