1.网页的密码管理
编辑导语:在互联网时代下,各种网页和软件都需要设置密码,那么网页产品如何评估密码强度呢?本篇文章介绍了5种进行密码强度的评估方法,感兴趣的一起来看一下。
2.网页密码记录工具
最近因为在做网页端产品中接触到密码强度设置问题,找了不少解决方案发现大多基于google提出的以密码长度,英文大小写以及符号组合计分来进行密码强度评估什么是密码强度?指一个密码对抗猜测或是暴力破解的有效程度。
3.网站与密码
一般来说,指一个未授权的访问者得到正确密码的平均尝试次数密码的强度和其长度、复杂度及不可预测度有关强密码可以降低安全漏洞的整体风险,但并不能降低采取其他安全措施的需要攻击者可以提交猜测到的密码的速率是衡量一个系统安全性的重要因素。
4.网站登录密码加密
有的系统在多次尝试失败后会暂停登入一段时间,在没有其他安全缺陷时,这种系统可以用相对简单的密码保护但是系统必须以某种形式存储用户密码,而当这些数据被盗时,就有极大的危险(via.百度百科)根据NordPass 2020年的研究,五个最常见的密码是123456、123456789、picture1、密码和12345678。
5.网站密码格式
我们先来看看破解这些密码需要多少时间。
6.网站密码加密
经过搜集整理了以下5种进行密码强度评估方法,你可以根据产品的数据风控程度选择匹配版本投产使用一、简易版1. 规则密码长度至少8位;密码含有数字&字母;密码含有符号;密码同时含有大小写字母2. 验证符合2项(
7.网站密码保护
含)以上允许账号注册;密码不符合规则进行针对性提示3. 示例1种组合→guofu→ 拒绝,提示原因;2种组合 → guofu1024→通过;3种组合→ guofu1024?→通过;4种组合→ Guofu1024?→ 通过。
8.网站常用密码
二、常规版1. 规则
9.网页的密码
– 2. 分数区间x ≥90: 非常安全;90 > x≥80: 安全(Secure);80 > x≥70: 强(Strong);70 > x≥ 60: 一般(Average);60 > x≥25: 弱(Weak);
10.网站记录密码
25 > x≥0: 非常弱3. 验证允许得分为70分以上的密码进行账号注册;密码不符合规则进行针对性提示4. 示例Guofu1024?→ 25+20+20+10+5=80分→安全三、专业版1. 符号Flat:均一的加/扣分比例;
Incr:出现次数越多,加/扣分比例越大;Cond:根据增加的字元数调整加/扣分比例;n:出现次数;len:密码字串长度。2. 规则
3. 计算方式最后的分数为加分条件和减分项目的条件;分数的范围为0~100分;分数不需达到最低字元即可计算4. 分数区间60 > x > 0:未达标准;70 > x ≥ 60:警告;80 > x ≥ 70:已达标准;。
x ≥ 80:优秀(100为上限)5. 验证允许得分为60分以上的密码进行账号注册6. 示例Aa123 → 43分→未达标准;Aa12L3→64分→警告四、HACK版在彩虹表之前,已经出现了对哈希函数的破解算法,被称为“预计算的哈希链集”(Precomputed hash chains)。
密码彩虹表——示例有关防御彩虹表攻击,开发者在编码时请勿在密码散列函数中使用MD5或SHA1,在密码散列例程中使用密码盐来帮助应用程序“防虹”的编码另外,不在彩虹表中的密码强度较高它是一个庞大的、针对各种可能的字母组合预先计算好的哈希值的集合。
不一定是针对MD5算法的,各种算法的都有,可以快速破解各类密码在彩虹表中的密码给予提示比如,A12345 →此密码安全性低,请修改五、Fuzzy版汪定教授团队对中国网民进行了密码习惯调查和比对先行密码强度模式后,提出了一种更为准确的评估模式。
Google 密码强度反馈选取了10个领域共50个流量排名靠前的网站,借助网站曾经泄露的密码数据库,先利用离线漫步攻击分析得到密码最常用的结构和使用频次的字典表测量核心公式:Nmin*log2Cmin,具体解释可参照论文解释。
作者提出从6个维度评估密码的强度,分别是:长度要求密码不小于8位;强制执行强制最小字符类型要求;允许使用符号,带符号的密码通常比不带符号的密码安全得多;使用常用弱密码的黑名单表(彩虹表),禁止使用;禁用账户名或个人名;
向用户提供明确的密码建议和指导另外,中国用户喜欢把名字放在密码中,作者在破解过程中充分利用名字信息,对算法进行改进,用于度量密码强度测试彩虹表需要集成“中式密码”,比如,“woaini”、“5201314”、“zhangsan2022”和“longguofu123”之类的密码。
六、总结在真实的世界,对于普通用户来说有没有办法可以设置真正意义上高强度的密码呢?参照专家们给出的建议,你可以试试这样做1) 不要在密码中包含用户名、真实姓名、生日或公司名称,也不要包含任何与登录信息相关的信息。
例如,地址或电话号码最好也不要包含任何可以在社交媒体上访问的信息,例如孩子或宠物的名字还有,比如在银行网站让你设置3个安全登录问题的时候,不要如实回答2) 研究发现45%的人使用8个字符或更少字符的密码。
如果可能的话,密码的长度至少应为16个字符相较于在密码中加入非字母字符而言,增加长度可以更简单地使密码变强例如,12个字母的密码比12个数字的密码的破解难度仅大8倍但由16个仅字母字符组成的密码比由12个各类字符组成的密码的破解难度大800万倍。
3) 密码应包括字母、数字和字符的组合,不应包含任何连续的字母或数字,不应是“密码”一词或重复的相同字母或数字例如,guofu8888、mima777、password1114) 密码不应是在键盘上经常。
连续敲击的字符串例如,asdfghjkl5) 密码不应与任何其他帐户共享可以使用专业的密码管理器和定期修改密码(虽然很难),可以用密码强度工具帮忙生成密码密码的存在笔者一直认为是反人性的设计,但是它的存在对鉴权、保护隐私又有其必要性。
选择哪种密码强度取决于设计者对于“便捷”与“安全”的平衡,对于金融级别的产品,毫无疑问需要高强度或多重验证而对于轻应用,更多可把方便为主要考虑此外,笔者一直有种感觉,或者没有密码,使用生物生命特征才是更人性化的设计。
次之,用社交账号授权、手机动态验证码进行验证,对于安全性较低的产品也是不错的解决方案最后,没有一个密码是“最安全的”,如果有的话,把它写出来就会变得不安全,因为有成千上万的人会在他们的账户上使用它作者:龙国富,公众号:龙国富,分享用户研究、客户体验、服务科学等领域资讯,观点和个人见解。
本文由@龙国富 原创发布于人人都是产品经理,未经授权,禁止转载。题图来Unsplash,基于CC0协议。
2. 分享目的仅供大家学习和交流,您必须在下载后24小时内删除!
3. 不得使用于非法商业用途,不得违反国家法律。否则后果自负!
4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务请大家谅解!
5. 如有链接无法下载、失效或广告,请联系管理员处理!
6. 本站资源售价只是赞助,收取费用仅维持本站的日常运营所需!
7. 如遇到加密压缩包,请使用WINRAR解压,如遇到无法解压的请联系管理员!
8. 精力有限,不少源码未能详细测试(解密),不能分辨部分源码是病毒还是误报,所以没有进行任何修改,大家使用前请进行甄别
丞旭猿论坛
暂无评论内容