所以问题是有这样的规则来拒绝用户有密码中的用户名的良好做法?应该或不应该强密码包含用户名
例如,如果用户输入UserName User,那么他不能拥有包含User的密码,或者对用户来说太难了?
也许只是拒绝用户使用户名等于密码但允许密码包含用户名?
您认为如何?
根据该MS链接http://windows.microsoft.com/en-AU/windows-vista/Tips-for-creating-a-strong-password强密码不应包含用户名。
如果密码是由用户生成的,那么几乎可以肯定是的,如果您对所有帐户的安全性有所担忧。考虑到这一选择,用户更有可能选择他们的用户名作为密码而不是随机密码,因此,攻击者会尝试使用第一个密码之一。 (password123456,abc123等等的密码也是如此。)
这暗示了min-entropy的概念。从本质上讲,如果攻击者想要猜测单个密码并且不关心哪个密码,则最小熵是所需的尝试次数。 (这与标准密码熵略有不同,这基本上是:如果攻击者想要攻击特定的凭证,则需要多少次尝试)如果允许使用非常简单的密码,则最小熵值将是低于没有复杂性规则的情况。
如果密码是随机生成的,则不允许使用用户名减少凭证的熵,因为它减少了可用密码组合的数量。然而,在实践中,攻击者很可能仍然会先尝试通用密码,因此即使如此,检测并限制通用密码也可能是很好的做法。
你想要你的密码是'强'吗?在这种情况下,请确保它们包含数字/特殊字符,并将其明确传达给用户。 – mkro
是的显然否认用户名/密码之间的任何相似之处。 – evandrix
很多网站需要数字和特殊字符,但请记住'abc; 123'仍然是比ecnlwuhwkxninvup更弱的密码。 –