拥有常规经理和员工帐户的客户的项目。什么是管理员密码管理的好习惯。他们应该能够看到每个人的密码吗?他们不应该吗?更改密码等
由于
答案 0 :(得分:2)
他们绝对不应该。实际上,您根本不应该以纯文本形式存储用户密码。查看scrypt或PBKDF2等单向哈希值,以便安全地(*)存储密码。另请参阅https://security.stackexchange.com/questions/4789/most-secure-password-hash-algorithms
(*)没有真正的证据表明任何哈希算法都是100%安全的。
答案 1 :(得分:1)
你永远不应该让经理看到青少年密码。当一个大三学生想要更改密码时,他应该被问到旧密码和新密码。
答案 2 :(得分:1)
如果没有其他原因,能够查看其他人的密码是非常糟糕的做法,因为在实践中,每个人都使用相同的密码进行不同的服务/网站/登录。所以在我看来这将是一个很大的NO。
更重要的是,在数据库中时,应始终对密码进行加密。加密密码(SHA,MD5,crypt或其他形式的哈希)的常用方法不是双向的,因此一旦密码被输入并加密,就无法对其进行去除。应用程序执行的操作,当用户再次输入密码时,密码用户键入的内容,并将生成的哈希值与数据库中存储的内容进行比较。这样可以防止任何用户看到明文密码,如果您有数据泄露,只要您需要“安全”密码就没有多大用处。
密码应该具有最小允许的大小,通常为8个或更多字符(使得更难以发现它们),并且最好由小写,大写,数字和特殊字符组成。密码越长越好。密码短语比使用大量不同案例,数字,特殊字符的小密码更安全,因为它们需要更长时间才能发挥作用。
至于能否更改其他人的密码,这是可取的,是的,因为用户始终会丢失密码,您需要一种方法来重置密码或更改密码。如果需要,也可以快速禁用用户帐户。
定期更改密码可以提高长期安全性,因为更改时可能会使用可能受到限制的密码,但它们会导致更多忘记密码和用户抱怨的负担。
永远不要通过电子邮件发送密码,密码恢复功能也是较低的安全等级,但安全性总是与实际使用保持平衡。
拥有临时更改首次登录密码也很有意思,因为它会降低支持的使用并阻止用户去管理员,或者通过电子邮件发送密码(永久性密码)。 / p>
对于临时密码,总是使用好的随机密码,而不是用户1234或者姓氏123或任何公共信息的组合,因为它很容易获取,并且可以被知道形成规则的任何人使用。