检查密码强度的最佳方法是什么?

时间:2008-09-16 17:53:22

标签: algorithm security passwords

确保用户提供的密码是注册或更改密码表单中的强密码的最佳方法是什么?

我有一个想法(在python中)

def validate_password(passwd):
    conditions_met = 0
    conditions_total = 3
    if len(passwd) >= 6: 
        if passwd.lower() != passwd: conditions_met += 1
        if len([x for x in passwd if x.isdigit()]) > 0: conditions_met += 1
        if len([x for x in passwd if not x.isalnum()]) > 0: conditions_met += 1
    result = False
    print conditions_met
    if conditions_met >= 2: result = True
    return result

16 个答案:

答案 0 :(得分:17)

根据语言的不同,我通常使用正则表达式来检查它是否有:

  • 至少一个大写和一个 小写字母
  • 至少一个号码
  • 至少一个特殊字符
  • 长度至少为六个字符

您可以要求以上所有,或使用强度计类型的脚本。对于我的力量计,如果密码长度合适,则评估如下:

  • 满足一个条件:弱密码
  • 满足两个条件:中密码
  • 符合所有条件:强密码

您可以调整上述内容以满足您的需求。

答案 1 :(得分:9)

面向对象的方法是一组规则。为每个规则分配权重并迭代它们。在伪代码中:

abstract class Rule {

    float weight;

    float calculateScore( string password );

}

计算总分:

float getPasswordStrength( string password ) {     

    float totalWeight = 0.0f;
    float totalScore  = 0.0f;

    foreach ( rule in rules ) {

       totalWeight += weight;
       totalScore  += rule.calculateScore( password ) * rule.weight;

    }

    return (totalScore / totalWeight) / rules.count;

}

基于存在的字符类数量的示例规则算法:

float calculateScore( string password ) {

    float score = 0.0f;

    // NUMBER_CLASS is a constant char array { '0', '1', '2', ... }
    if ( password.contains( NUMBER_CLASS ) )
        score += 1.0f;

    if ( password.contains( UPPERCASE_CLASS ) )
        score += 1.0f;

    if ( password.contains( LOWERCASE_CLASS ) )
        score += 1.0f;

    // Sub rule as private method
    if ( containsPunctuation( password ) )
        score += 1.0f;

    return score / 4.0f;

}

答案 2 :(得分:4)

1:消除常用密码
根据常用密码列表检查输入的密码(请参阅泄露的LinkedIn密码列表中的前100,000个密码:http://www.adeptus-mechanicus.com/codex/linkhap/combo_not.zip),确保包含leetspeek substitutions: A,E3,B8,S5等。
在转到下面的第2部分之前,从输入的短语中删除针对此列表的部分密码。

2:不要强行对用户施加任何规则

密码的黄金法则是越长越好 忘记强制使用大写字母,数字和符号,因为(绝大多数)用户将: - 将第一个字母作为资本; - 将数字1放在最后; - 如果需要符号,请在此之后加!

而是检查密码强度

要获得一个不错的起点,请参阅:http://www.passwordmeter.com/

我建议至少遵守以下规则:

Additions (better passwords)
-----------------------------
- Number of Characters              Flat       +(n*4)   
- Uppercase Letters                 Cond/Incr  +((len-n)*2)     
- Lowercase Letters                 Cond/Incr  +((len-n)*2)     
- Numbers                           Cond       +(n*4)   
- Symbols                           Flat       +(n*6)
- Middle Numbers or Symbols         Flat       +(n*2)   
- Shannon Entropy                   Complex    *EntropyScore

Deductions (worse passwords)
----------------------------- 
- Letters Only                      Flat       -n   
- Numbers Only                      Flat       -(n*16)  
- Repeat Chars (Case Insensitive)   Complex    -    
- Consecutive Uppercase Letters     Flat       -(n*2)   
- Consecutive Lowercase Letters     Flat       -(n*2)   
- Consecutive Numbers               Flat       -(n*2)   
- Sequential Letters (3+)           Flat       -(n*3)   
- Sequential Numbers (3+)           Flat       -(n*3)   
- Sequential Symbols (3+)           Flat       -(n*3)
- Repeated words                    Complex    -       
- Only 1st char is uppercase        Flat       -n
- Last (non symbol) char is number  Flat       -n
- Only last char is symbol          Flat       -n

仅仅跟随passwordmeter是不够的,因为它的天真算法确实将 Password1!视为好,而它非常弱。 确保在评分时忽略首字母大写字母以及尾随数字和符号(根据最后3条规则)。

计算香农熵
请参阅:Fastest way to compute entropy in Python

3:不允许任何太弱的密码
而不是强迫用户屈服于自我挫败的规则,允许任何能够给出足够高分的东西。多高取决于您的使用案例。

最重要的是
当您接受密码并将其存储在数据库make sure to salt and hash it!

中时

答案 3 :(得分:3)

要检查的两个最简单的指标是:

  1. 长度。我要说最少8个字符。
  2. 密码包含的不同字符类的数量。这些通常是小写字母,大写字母,数字和标点符号以及其他符号。强密码将包含至少三个类中的字符;如果强制使用数字或其他非字母字符,则会大大降低字典攻击的效率。

答案 4 :(得分:2)

Cracklib很棒,在较新的软件包中有一个可用的Python模块。但是,在尚未拥有它的系统上,例如CentOS 5,我已经为系统cryptlib编写了一个ctypes包装器。这也适用于无法安装python-libcrypt的系统。 需要带有ctypes的python,因此对于CentOS 5,你必须安装并使用python26包。

它还有一个优点,它可以使用用户名并检查包含它的密码或基本相似的密码,如libcrypt“FascistGecos”函数,但不要求用户存在于/ etc / passwd中。

我的ctypescracklib library is available on github

一些示例用途:

>>> FascistCheck('jafo1234', 'jafo')
'it is based on your username'
>>> FascistCheck('myofaj123', 'jafo')
'it is based on your username'
>>> FascistCheck('jxayfoxo', 'jafo')
'it is too similar to your username'
>>> FascistCheck('cretse')
'it is based on a dictionary word'

答案 5 :(得分:2)

在阅读了其他有用的答案之后,这就是我要去的地方:

-1与用户名相同 +0包含用户名
+1超过7个字符
+1超过11个字符
+1包含数字
+1大小写混合
+1包含标点符号
+1不可打印的字符

pwscore.py:

import re
import string
max_score = 6
def score(username,passwd):
    if passwd == username:
        return -1
    if username in passwd:
        return 0
    score = 0
    if len(passwd) > 7:
        score+=1
    if len(passwd) > 11:
        score+=1
    if re.search('\d+',passwd):
        score+=1
    if re.search('[a-z]',passwd) and re.search('[A-Z]',passwd):
        score+=1
    if len([x for x in passwd if x in string.punctuation]) > 0:
        score+=1
    if len([x for x in passwd if x not in string.printable]) > 0:
        score+=1
    return score

示例用法:

import pwscore
    score = pwscore(username,passwd)
    if score < 3:
        return "weak password (score=" 
             + str(score) + "/"
             + str(pwscore.max_score)
             + "), try again."

可能不是最有效的,但似乎是合理的。 不确定FascistCheck =&gt; “与用户名太相似”是 值得。

'abc123ABC!@£'=得分6/6,如果不是用户名的超集

也许应该得分较低。

答案 6 :(得分:1)

有一个开放且免费的John the Ripper密码破解程序,这是检查现有密码数据库的好方法。

答案 7 :(得分:1)

这就是我使用的:

   var getStrength = function (passwd) {
    intScore = 0;
    intScore = (intScore + passwd.length);
    if (passwd.match(/[a-z]/)) {
        intScore = (intScore + 1);
    }
    if (passwd.match(/[A-Z]/)) {
        intScore = (intScore + 5);
    }
    if (passwd.match(/\d+/)) {
        intScore = (intScore + 5);
    }
    if (passwd.match(/(\d.*\d)/)) {
        intScore = (intScore + 5);
    }
    if (passwd.match(/[!,@#$%^&*?_~]/)) {
        intScore = (intScore + 5);
    }
    if (passwd.match(/([!,@#$%^&*?_~].*[!,@#$%^&*?_~])/)) {
        intScore = (intScore + 5);
    }
    if (passwd.match(/[a-z]/) && passwd.match(/[A-Z]/)) {
        intScore = (intScore + 2);
    }
    if (passwd.match(/\d/) && passwd.match(/\D/)) {
        intScore = (intScore + 2);
    }
    if (passwd.match(/[a-z]/) && passwd.match(/[A-Z]/) && passwd.match(/\d/) && passwd.match(/[!,@#$%^&*?_~]/)) {
        intScore = (intScore + 2);
    }
    return intScore;
} 

答案 8 :(得分:0)

除了混合字母,数字和符号的标准方法之外,我注意到上周我在MyOpenId注册时,密码检查器会告诉您密码是否基于字典单词,即使您添加数字或替换字母具有相似的数字(使用零而不是'o','1'而不是'i'等)。

我印象非常深刻。

答案 9 :(得分:0)

我写了一个小的Javascript应用程序。看看:Yet Another Password Meter。您可以下载源代码并在GPL下使用/修改它。玩得开心!

答案 10 :(得分:0)

我不知道是否有人会发现这有用,但我真的很喜欢phear建议的规则集的想法,所以我去写了一个规则Python 2.6类(虽然它可能与2.5兼容):

import re

class SecurityException(Exception):
    pass

class Rule:
    """Creates a rule to evaluate against a string.
    Rules can be regex patterns or a boolean returning function.
    Whether a rule is inclusive or exclusive is decided by the sign
    of the weight. Positive weights are inclusive, negative weights are
    exclusive. 


    Call score() to return either 0 or the weight if the rule 
    is fufilled. 

    Raises a SecurityException if a required rule is violated.
    """

    def __init__(self,rule,weight=1,required=False,name=u"The Unnamed Rule"):
        try:
            getattr(rule,"__call__")
        except AttributeError:
            self.rule = re.compile(rule) # If a regex, compile
        else:
            self.rule = rule  # Otherwise it's a function and it should be scored using it

        if weight == 0:
            return ValueError(u"Weights can not be 0")

        self.weight = weight
        self.required = required
        self.name = name

    def exclusive(self):
        return self.weight < 0
    def inclusive(self):
        return self.weight >= 0
    exclusive = property(exclusive)
    inclusive = property(inclusive)

    def _score_regex(self,password):
        match = self.rule.search(password)
        if match is None:
            if self.exclusive: # didn't match an exclusive rule
                return self.weight
            elif self.inclusive and self.required: # didn't match on a required inclusive rule
                raise SecurityException(u"Violation of Rule: %s by input \"%s\"" % (self.name.title(), password))
            elif self.inclusive and not self.required:
                return 0
        else:
            if self.inclusive:
                return self.weight
            elif self.exclusive and self.required:
                raise SecurityException(u"Violation of Rule: %s by input \"%s\"" % (self.name,password))
            elif self.exclusive and not self.required:
                return 0

        return 0

    def score(self,password):
        try:
            getattr(self.rule,"__call__")
        except AttributeError:
            return self._score_regex(password)
        else:
            return self.rule(password) * self.weight

    def __unicode__(self):
        return u"%s (%i)" % (self.name.title(), self.weight)

    def __str__(self):
        return self.__unicode__()

我希望有人觉得这很有用!

示例用法:

rules = [ Rule("^foobar",weight=20,required=True,name=u"The Fubared Rule"), ]
try:
    score = 0
    for rule in rules:
        score += rule.score()
except SecurityException e:
    print e 
else:
    print score

免责声明:未经过单元测试

答案 11 :(得分:-1)

如果你有时间,请对它进行密码破解。

答案 12 :(得分:-1)

密码强度检查器,如果您有时间+资源(只有在检查多个密码时才合理),请使用Rainbow Tables。

答案 13 :(得分:-1)

通过一系列检查以确保其符合最低标准:

  • 至少8个字符
  • 包含至少一个非字母数字符号
  • 不匹配或包含用户名/电子邮件/等。

这是一个报告密码强度的jQuery插件(我自己没试过): http://phiras.wordpress.com/2007/04/08/password-strength-meter-a-jquery-plugin/

同样的东西移植到PHP: http://www.alixaxel.com/wordpress/2007/06/09/php-password-strength-algorithm/

答案 14 :(得分:-1)

伙计们,我猜这是不可能的,因为没有人制作这样的图书馆。

答案 15 :(得分:-2)

  

确保用户提供的密码是注册或更改密码表格中的强密码的最佳方法是什么?

不评估复杂性和强度,用户会发现一种使您的系统蒙混或受挫甚至无法使用的方法。这样只会使您处于like this的情况。仅要求一定的长度,不会使用泄漏的密码。优点:请确保您实施的所有内容均允许使用密码管理器和/或2FA。