通常,问题(特别是标记为regex的问题)会询问验证密码的方法。用户通常会寻求密码验证方法,包括确保密码包含特定字符,匹配特定模式和/或遵守最小字符数。这篇文章旨在帮助用户找到适当的密码验证方法,而不会大大降低安全性。
所以问题是:如何正确验证密码?
答案 0 :(得分:51)
我们自己的Jeff Atwood(Coding Horror的博主和Stack Overflow和Stack Exchange的联合创始人)在2017年3月写了一篇关于密码规则的博客,名为Password Rules are Bullshit。如果您还没有阅读这篇文章,我会敦促您这样做,因为它极大地反映了这篇文章的意图。
如果您从未听说过NIST (National Institute of Standards and Technology),那么您可能无法为您的项目使用正确的网络安全方法。在这种情况下,请查看他们的Digital Identity Guidelines。您还应该保持最新有关网络安全的最佳做法。 NIST Special Publication 800-63B (Revision 3)提到了以下有关密码规则的内容:
验证者不应强加其他组成规则(例如要求 不同特征类型的混合物或连续禁止 记忆秘密的重复字符。
即使是Mozilla关于Form data validation的文档,也会对密码规则(page archive here)感兴趣:
"您的密码长度必须介于8到30个字符之间,并且包含一个大写字母,一个符号和一个数字" (严重?)
如果您为密码强加组合规则会怎样?您限制潜在密码的数量,并删除与您的规则不符的密码排列。这允许黑客确保他们的攻击也一样! &#34;雅但是有一个千万亿(1,000,000,000,000,000或1x10 15 )密码排列&#34; :25-GPU cluster cracks every standard Windows password in <6 hours(95 8 = 6,634,204,312,890,625~6.6x10 15 密码)。
完全停止要求密码,让人们使用Google,Facebook,Twitter,Yahoo或您感到满意的Internet driver's license有效形式登录。最好的密码 是one you don't have to store。
来源:Jeff Atwood的Your Password is Too Damn Short。
如果您必须创建自己的身份验证方法,请至少遵循经过验证的网络安全方法。以下两节(2.1和2.2)取自current NIST publication,5.1.1.2 Memorized Secret Verifiers部分。
NIST声明你应该:
aaaaaa
,1234abcd
)同一出版物还声明您不应该:
有很多网站在解释如何创建&#34;正确的&#34; 密码验证表单:其中大部分已过时且不应使用。
在继续阅读本节之前,请注意本节的目的不是为您提供推出自己的安全方案所需的工具,而是为您提供信息关于 当前安全方法验证密码的方式。如果你正在考虑创建自己的安全方案,你应该考虑三次并从StackExchange的安全社区阅读this article。
在最基本的级别,密码熵可以使用以下公式计算:
在上面的公式中:
这意味着代表可能的密码数量;或者,就熵而言,耗尽所有可能性所需的尝试次数。
不幸的是,这个公式没有考虑的是:
Password1
,admin
John
,Mary
the
,I
drowssap
(密码向后)P@$$w0rd
为这些额外的考虑因素添加逻辑是一项巨大的挑战。有关可以添加到项目中的现有包,请参阅3.2。
在撰写本文时,用于估计密码强度的最着名的现有库是zxcvbn by Dropbox(GitHub上的一个开源项目)。它已经过调整以支持.net angularjs c c# c++ go java javascript { {3}} objective-c ocaml php python rest ruby rust
但是,我理解每个人都有不同的要求,有时人们想要以错误的方式做事。对于那些符合这一标准的人(或者没有选择并且已经向您的经理提供了更多内容以及他们拒绝更新他们的方法),至少允许使用Unicode字符。您将密码字符限制为特定字符集(即确保存在小写ASCII字符a-z
或指定用户可以输入或不能输入!@#$%^&*()
的字符)的那一刻,您只需询问麻烦!
<强> P.S。永远不要相信客户端验证,因为它很容易被禁用。这意味着对于那些尝试使用scala 停止验证密码的人。有关详细信息,请参阅javascript。
以下正则表达式模式在所有编程语言中都不起作用,但在许多主要编程语言中都有效(JavaScript: client-side vs. server-side validation java .net php {{3 }})。请注意,以下正则表达式可能无法使用您的语言(甚至语言版本),您可能需要使用替代方案(例如perl:请参阅ruby)。一些编程语言甚至有更好的方法来检查这种事情(即使用python Python regex matching Unicode properties)而不是重新发明轮子。使用Password Validation Plugin如果mysql中讨论的node.js或其他一些转换工具用于Unicode类,则以下内容有效。
如果您需要以防止输入控制字符,则可以使用模式[^\P{C}\s]
在正则表达式匹配时提示用户。这将仅匹配不是空格字符的控制字符 - 即水平制表符,换行符,垂直制表符。
以下正则表达式确保8个字符长度的密码中至少存在一个小写,大写,数字和符号:
^(?=\P{Ll}*\p{Ll})(?=\P{Lu}*\p{Lu})(?=\P{N}*\p{N})(?=[\p{L}\p{N}]*[^\p{L}\p{N}])[\s\S]{8,}$
^
在行首处断言位置。(?=\P{Ll}*\p{Ll})
确保至少存在一个小写字母(在任何脚本中)。(?=\P{Lu}*\p{Lu})
确保至少存在一个大写字母(在任何脚本中)。(?=\P{N}*\p{N})
确保至少存在一个数字字符(在任何脚本中)。(?=[\p{L}\p{N}]*[^\p{L}\p{N}])
确保至少有一个不存在字母或数字的字符(在任何脚本中)。[\s\S]{8,}
匹配任何字符8次或以上。$
断言行尾的位置。请自行决定使用上述正则表达式。你被警告了!