密码有许多缺点,但它们仍然是向用户提供某些身份验证的唯一技术上直接的方式。
让我们假设一个教育型系统。很多人都有密码,很多人经常忘记密码,很多CS学生和其他人试图在其他地方泄露密码,很多内部网络钓鱼等等。
作为管理员,知道密码的不无论如何都不会“让你离开”帐户,那么仅仅为人们分配随机垃圾密码并且不强制他们更改密码的缺点是什么?
只需在纸条上给人强密码,告诉他们保密或记忆并吃掉它。?
答案 0 :(得分:2)
您将遇到两个问题:
您的密码如此强大且无法记住,系统的安全性将被推到密码将写在屏幕旁边的笔记上,或保存在计算机桌面上显而易见的地方
更具技术性的问题是:
如果您自动生成密码,这是一个合法的问题,有人可以随意查询您的新密码(通过创建新帐户)。虽然你有一些选择,但也可以解决 hard 。通常,您希望获得尽可能多的来源(random.org,hotbits,以您的语言加密保密),并将它们组合在一起。但是你不应该过多地查询在线服务,并且你可能无法从中获得足够的信息,所以你需要完全依赖从加密安全过程中检索到的那些服务。这种情况“通常都很好”,但如果我不断提出这个问题,我将不会感到太舒服。
就我个人而言,我认为this并不是一个坏主意(这是我5年前的一个想法;哇......)。但是在做之前要真的考虑一下,然后阅读我已经链接的文章。
答案 1 :(得分:1)
如果你可以使用你的系统躲开它,我很擅长生成一个句子作为密码。这很容易记住,并且有许多字符可供猜测。这试图在保持相当复杂的同时缓解“便签问题”。 : - )
答案 2 :(得分:0)
缺点是记住起来要困难得多,而且你不会总是随身携带纸条。
像他们在我的大学那样做:运行密码破解程序,如果密码太弱,需要/请求它将被更改。
虽然为了上帝的缘故,在密码之前运行密码,但它们已被加密。
答案 3 :(得分:0)
我认为这应该适用于那些安全性不是主要问题的组织。否则,应该使用定义明确的安全策略,这需要具有强密码并定期更改它们。
答案 4 :(得分:0)
许多CS学生和其他人试图在其他地方实施其他人的密码, 许多内部网络钓鱼之旅等。
如果发生这种情况,我猜基础设施本身有问题。要尝试强力破解,攻击者必须能够访问密码文件或者尝试访问系统。第一种情况不应该发生,因为密码文件不应该被任何人访问。第二个似乎很容易反击 - 只是限制登录尝试次数/减慢登录速度,当然还要做一些尝试这些事情的审计。
分配预定义的密码似乎不是一个好主意 - 很多人都有自己的记忆/创建密码的方法,如果你强迫他们使用他们不喜欢的东西,他们更有可能把它写在某处或者只是松开了他们所得到的那张纸。
我认为唯一的建议是制定一个处理忘记密码的有效方案。如果我们假设某种教育机构,可能会有其他形式的身份验证,当用户请求重置他/她忘记的密码时可以使用,并且整个过程可以合理有效。