密码强制要求字母+数字的是什么原因?

2014-06-23 21:15:01 +08:00
 bengol
当然还有长度,包括特殊字符什么的。想讨论下,为什么要这样要求密码呢?
比如这个: https://user.hiwifi.com/register
我只是想去吐槽下bug,对于这种级别的站点,从来不关心安全性与是否被盗,有一套专门的邮件地址和密码对付的。
从用户的角度来看,选择是否采用足够复杂的密码是用户个人对于这个账号的重要性的评估,这样由网站强加的限制感觉非常不爽且难以理解。
"不爽就不要用"这个观点很普遍且非常有道理,毕竟是别人的网站,所以我不打算注册它了,明天打算直接打客服。但是对于这种普遍性的密码限制,原因如何呢?
5057 次点击
所在节点    问与答
9 条回复
MrGba2z
2014-06-23 21:20:37 +08:00
我当初申请学校的时候遇到最变态的是:
必须有以下所有类型:
大写字母
小写字母
特殊字符
数字
任意连续三位不能为以上四种中同一种
不能出现单词

当时真的想一狠心不申请这学校了,(最后也给拒了,妈蛋....)
sobigfish
2014-06-23 21:24:18 +08:00
强密码要求:一种是真为你的资料安全着想,一种是想让你认为他们很安全
---
用随机密码,然后机器自动保存自动填写
akfish
2014-06-23 21:31:35 +08:00
1. 字母+数字可以直接过滤掉大量弱密码,虽然从概率的角度来讲,同等长度密码老实的去穷举爆破,强弱密码都一样,但有种攻击叫做字典攻击
2. 也许你认为某某站点的账号毫不在乎,被盗就算了。我不想说社工攻击什么的,大多数用户倾向于用同样的密码,仅仅是从这一点出发,强密码就很有必要
3. 任何系统不可避免有漏洞,有的漏洞能导致低级用户获得高级权限,如果漏洞已知,然后低级用户的密码很容易猜对,整个系统的安全性就没有保证了,极易被渗透。这对于公开站点可能无关痛痒,但和内网敏感内容相关联的服务就很重要了。

对于用户而言,真正的安全来源于习惯,这是帮助你养成这样的习惯。
JoyNeop
2014-06-23 21:33:14 +08:00
对当时我也这么吐槽 swift-china.org ,有什么资格要求我在那里使用复杂密码……

所以对于这类臭不要脸的网站都胡乱敲个足够复杂的密码,下次登录时再重置……
liceee
2014-06-24 00:26:15 +08:00
搞个密码验证公司, 眼神 姿势 语音 指纹 图形或点击,按照这样的顺序统一所有合作网站密码验证,以后上网就方便多了. 谁有兴趣和我搞一搞..
oott123
2014-06-24 00:41:54 +08:00
就是想让你忘记密码然后多注册几次,显得很有人气呗…
eirk2004
2014-06-24 00:43:25 +08:00
被脱裤的DZ论坛不要太多,如果网站使用默认的加密储存,别指望用了强密码有啥用处。对于网站密码,我认为只要达到一定位数就行了。关键在于不同的网站使用不同的密码。在本地数据库上,你可以试试强密码
rannnn
2014-06-24 08:22:23 +08:00
@MrGba2z 外加每学期强制修改一次,而且不能使用已经用过的密码。。。 对,我们学校就是这样。后来找到个漏洞就是去student center说密码忘记了就能重置一个,重置没有任何限制哈哈哈哈
zhujinliang
2014-06-24 08:58:39 +08:00
从管理者的角度来看
不加限制,意味着可能有很多弱密码,可能会吸引大量的穷举攻击,本来服务器就不给力,再天天被攻击。。。
被盗取的帐号,多数用来发广告,扰乱秩序,限制注册/限制新手用户都没法防这种行为,还得处理盗号纠纷

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/119134

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX