-2
安全办公室已更改安全密码的要求。我需要弄清楚如何做到这一点。必须防止新密码包含来自先前密码的三(3)个或更多字符的序列。我将所有以前的密码存储在一个表中。我们使用MS SQL Server。在此之后,我还需要加密密码。如何确保新密码不包含以前密码中的3个或更多字符?
A
回答
1
如果安全办公室想要提高安全性,他们应该切换到带有成本因子的慢哈希算法,如BCrypt或PBKDF2。这比找到复杂的密码规则要好得多。
适当的散列算法将不允许对原始密码作出结论,因此您不能分辨使用的是相同的字符。如果您的应用程序能够找到相似之处,那么攻击者也可以做到这一点。所以找到相似之处的唯一可能性是,在更改密码时要求输入旧密码(这是一件好事)。
虽然复杂的密码规则通常不会导致更安全的密码。人们无法记住大量强密码,这些规则可能会干扰良好的密码方案。人们可以非常有创意地绕过这些规则,例如通过更改密码两次,或使用弱密码(如“密码-2014”)执行复杂规则或强制更改密码。通常你会用较弱的密码而不是较强的密码。
相关问题
- 1. 如何密码不能包含3个或更多相同字符的序列?
- 2. 系统如何知道密码何时包含以前的密码部分?
- 3. 在更改为新密码之前确认旧密码codeigniter
- 4. MVC验证更改密码。当前密码与新密码
- 5. 表格3或4密码随机密码字符PHP
- 6. JQuery - 确认密码包含非字母数字字符
- 7. 如何进入无密码保护的Java密钥库或更改密码?
- 8. 如何更新领域,包括密码
- 9. 如何确保tank_auth中的强密码?
- 10. SQLLoader,密码中包含@ -signs
- 11. Javascript:验证多个密码并确认密码字段
- 12. 密码应至少包含一个数字和一个字符
- 13. Silverstripe:ConfirmedPasswordField不保存新密码
- 14. bash:如何传递包含特殊字符的密码
- 15. SecRequestSharedWebCredential凭证包含'密码未保存'?
- 16. 如何更改密码字符FLEX 3.0
- 17. 如何正确比较加密的密码字符串?
- 18. 如何检查旧密码并将其更新为新密码?
- 19. 解锁密码或保存未加密的密码C#
- 20. 如何使密码快速确认3
- 21. 在Rails 3中,当我不试图更新密码时,如何跳过验证密码字段?
- 22. Rails 4,如何在密码更改时询问当前密码?
- 23. 密码和确认密码
- 24. 如何在Grails中获取普通密码或解密密码?
- 25. 加密web.config中的密码字符串
- 26. 更改HTML中的密码字符
- 27. RESTful更新密码
- 28. 如何确保输入密码?
- 29. 如何正确保存密码
- 30. 限制密码至少包含x个特殊字符?
将普通密码存储在表中远非安全。 – 2014-10-20 13:34:56
你在使用什么数据库 – 2014-10-20 13:35:34
记住:在表格中存储密码(甚至以前的密码)是EVIL!这是你的安全团队应该解决的第一件事! – 2014-10-20 13:37:00