所以问题是这样的规则是拒绝用户在密码中使用UserName的好习惯吗?
例如,如果用户键入UserName User,那么他就不能拥有包含User的密码,或者对用户来说是否太难了?
最好只是拒绝用户将UserName等于密码,但允许密码包含UserName?
您怎么看?
根据MS链接http://windows.microsoft.com/en-AU/windows-vista/Tips-for-creating-a-strong-password强密码不应包含用户名。
答案 0 :(得分:0)
答案 1 :(得分:0)
如果密码是用户生成的,那么如果您完全关心帐户的安全性,那么几乎肯定是。根据选择,用户更有可能选择其用户名作为密码而不是随机密码,因此,攻击者将尝试使用其中一个密码。 (对于password 123456,abc123等密码也是如此。)
这暗示了min-entropy的概念。实质上,如果攻击者想要猜测单个密码而不关心密码,则min-entropy是预期的所需尝试次数。 (这与标准密码熵稍有不同,后者基本上是:如果攻击者想攻击特定的凭证,所需的尝试次数是多少?)如果允许非常简单的密码,则最小 - 熵值将低于没有复杂性规则的情况。
如果密码是随机生成的,则轻微禁用用户名会减少凭证的熵,因为它会减少允许的密码组合数。但实际上,攻击者可能仍会先尝试使用常用密码,因此即使如此,检测和限制常用密码也是不错的做法。