检查密钥空间密码的缺点是什么,而不只是检查使用的长度和字符类?
我已经开始使用短语作为密码而且我经常因为用户友好而撞墙,因为密码要求会阻止我的密码。更糟糕的是,我遇到了具有密码长度限制或不接受空格等的系统。
例如,使用至少需要8个字符,1个数字,1个大写字母,1个小写字母和1个符号的标准密码检查程序。如果我希望我的密码是“stackoverflow是有史以来最好的网站”,那么检查器会抛出错误,但我的密码空间的密钥空间明显大于基本要求。
"C0mplex?" => 6.0956893 × 10^15
"stackoverflow is the best website ever" => 2.4650347 × 10^54
由于我自己必须设计这样的系统,我已经开始探索检查密码的密钥空间大小并且需要最小密钥空间而不是特定特征(以及常见/明显的密码检查)的想法。课程)。这样,如果您使用8个字符的混合符号密码或12个字符不区分大小写的字母数字密码,它们都会通过复杂性检查。
你们可以看到任何想法/警告吗?
答案 0 :(得分:0)
除了检查密钥空间要求的代码比检查字符类更难以外,没有任何缺点,所以大多数网站(让我们面对的不是由优秀的安全专家或编码员构建)打扰。
更糟糕 - 限制为最大长度的密码通常是因为它们将您的密码以明文形式存储在数据库中,并且具有固定长度的存储列,因为任何对安全性有简要了解的人都会知道这是不可接受的,因为密码应该在服务器上加盐和散列。