我们有一个登录表单,我们的最小密码长度为8个字符。因此,当用户键入小于8的任何内容时,我们通过javascript验证长度,并让用户知道最小密码长度为8个字符。
但是我相信这是一些敏感的信息,而且据我所知,通过暴露我的最小长度密码约束,我可能会为黑客节省几周时间。
如果这是可取的,请告诉我,或者不要放弃最小长度。
答案 0 :(得分:2)
如果没有通知用户您的最小密码长度,您仍然可以让他们知道密码太短“您的密码太短,请尝试更长的密码”。但是,如果您没有告诉他们密码需要多长时间,您将会感到沮丧。如果只是通过愚蠢的追踪和错误,黑客仍然能够找出你的最小密码长度。
沮丧的用户很糟糕,所以安抚他们告诉他们为什么他们的密码不好。
如果您担心安全问题,我会调查您可以控制的其他内容,这些内容不会对您的用户密码造成太大影响。 (HTTPS,需要密码更改确认,要求最少数量的特殊字符,列表一直在继续)。
答案 1 :(得分:1)
建议用户知道。这是从用户的角度出发的。如果你不告诉它,他可能在验证方面遇到问题,他甚至不知道为什么......