即使密码稍微关闭,也允许用户登录

时间:2016-11-23 16:54:21

标签: encryption login passwords login-script

我实现了以下登录系统:

如果要遵守以下条件,用户可以在密码略有不同的情况下登录(例如,字符应为大写但小写):

  • 登录的IP应与之前用户登录的先前IP匹配。
  • 输入密码之间的差异应该是最小的,因此如果用户包含超过2/3的差异,则不允许用户登录。
  • 可选 - 记录用户写下密码所需的时间,并确保用户不会花费太长时间。

您对此类系统的安全性有何看法?

1 个答案:

答案 0 :(得分:1)

不要这样做

除非这个登录脚本只不过是一个玩具,并且永远不会看到生产环境的光,否则不要这样做。争论你的观点,这就是原因:

  1. IP改变。即使您的用户拥有静态IP,也可以欺骗IP
  2. 你是如何计算这些差异的?字符串比较?您不应将密码存储为纯文本。并且哈希比较应该是准确的,没有摆动空间。
  3. 如果我在登录时离开计算机怎么办?如果用户暂时忘记怎么办?如果用户打字很糟糕,或身体残疾,需要花时间怎么办?这里变量太多,登录机制变得不必要地复杂,没有真正的回报。如果有的话,“太快”的限制可能更聪明,减慢暴力迫使密码。
相关问题
最新问题