V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
bengol
V2EX  ›  问与答

密码强制要求字母+数字的是什么原因?

  •  
  •   bengol · 2014-06-23 21:15:01 +08:00 · 5047 次点击
    这是一个创建于 3790 天前的主题,其中的信息可能已经有所发展或是发生改变。
    当然还有长度,包括特殊字符什么的。想讨论下,为什么要这样要求密码呢?
    比如这个: https://user.hiwifi.com/register
    我只是想去吐槽下bug,对于这种级别的站点,从来不关心安全性与是否被盗,有一套专门的邮件地址和密码对付的。
    从用户的角度来看,选择是否采用足够复杂的密码是用户个人对于这个账号的重要性的评估,这样由网站强加的限制感觉非常不爽且难以理解。
    "不爽就不要用"这个观点很普遍且非常有道理,毕竟是别人的网站,所以我不打算注册它了,明天打算直接打客服。但是对于这种普遍性的密码限制,原因如何呢?
    9 条回复    2014-06-24 08:58:39 +08:00
    MrGba2z
        1
    MrGba2z  
       2014-06-23 21:20:37 +08:00
    我当初申请学校的时候遇到最变态的是:
    必须有以下所有类型:
    大写字母
    小写字母
    特殊字符
    数字
    任意连续三位不能为以上四种中同一种
    不能出现单词

    当时真的想一狠心不申请这学校了,(最后也给拒了,妈蛋....)
    sobigfish
        2
    sobigfish  
       2014-06-23 21:24:18 +08:00
    强密码要求:一种是真为你的资料安全着想,一种是想让你认为他们很安全
    ---
    用随机密码,然后机器自动保存自动填写
    akfish
        3
    akfish  
       2014-06-23 21:31:35 +08:00
    1. 字母+数字可以直接过滤掉大量弱密码,虽然从概率的角度来讲,同等长度密码老实的去穷举爆破,强弱密码都一样,但有种攻击叫做字典攻击
    2. 也许你认为某某站点的账号毫不在乎,被盗就算了。我不想说社工攻击什么的,大多数用户倾向于用同样的密码,仅仅是从这一点出发,强密码就很有必要
    3. 任何系统不可避免有漏洞,有的漏洞能导致低级用户获得高级权限,如果漏洞已知,然后低级用户的密码很容易猜对,整个系统的安全性就没有保证了,极易被渗透。这对于公开站点可能无关痛痒,但和内网敏感内容相关联的服务就很重要了。

    对于用户而言,真正的安全来源于习惯,这是帮助你养成这样的习惯。
    JoyNeop
        4
    JoyNeop  
       2014-06-23 21:33:14 +08:00
    对当时我也这么吐槽 swift-china.org ,有什么资格要求我在那里使用复杂密码……

    所以对于这类臭不要脸的网站都胡乱敲个足够复杂的密码,下次登录时再重置……
    liceee
        5
    liceee  
       2014-06-24 00:26:15 +08:00
    搞个密码验证公司, 眼神 姿势 语音 指纹 图形或点击,按照这样的顺序统一所有合作网站密码验证,以后上网就方便多了. 谁有兴趣和我搞一搞..
    oott123
        6
    oott123  
       2014-06-24 00:41:54 +08:00 via Android
    就是想让你忘记密码然后多注册几次,显得很有人气呗…
    eirk2004
        7
    eirk2004  
       2014-06-24 00:43:25 +08:00
    被脱裤的DZ论坛不要太多,如果网站使用默认的加密储存,别指望用了强密码有啥用处。对于网站密码,我认为只要达到一定位数就行了。关键在于不同的网站使用不同的密码。在本地数据库上,你可以试试强密码
    rannnn
        8
    rannnn  
       2014-06-24 08:22:23 +08:00
    @MrGba2z 外加每学期强制修改一次,而且不能使用已经用过的密码。。。 对,我们学校就是这样。后来找到个漏洞就是去student center说密码忘记了就能重置一个,重置没有任何限制哈哈哈哈
    zhujinliang
        9
    zhujinliang  
       2014-06-24 08:58:39 +08:00
    从管理者的角度来看
    不加限制,意味着可能有很多弱密码,可能会吸引大量的穷举攻击,本来服务器就不给力,再天天被攻击。。。
    被盗取的帐号,多数用来发广告,扰乱秩序,限制注册/限制新手用户都没法防这种行为,还得处理盗号纠纷
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2742 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 11:44 · PVG 19:44 · LAX 03:44 · JFK 06:44
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.