【发布时间】:2012-03-18 15:44:30
【问题描述】:
我们有一个登录表单,我们的最小密码长度为 8 个字符。因此,当用户键入小于 8 的任何内容时,我们会通过 javascript 验证长度并让用户知道最小密码长度为 8 个字符。
但是我认为这是一些敏感信息,据我所知,通过公开我的最小长度密码限制,我可能会为黑客节省几周的时间。
请让我知道这样做是否可取,或者最好不要放弃最小长度。
【问题讨论】:
标签: security passwords sensitive-data
【发布时间】:2012-03-18 15:44:30
【问题描述】:
在不告知用户您的最小密码长度的情况下,您仍然可以让他们知道密码太短“您的密码太短,请尝试更长的密码”。但是,如果您不告诉他们密码至少需要多长时间,您会让用户感到沮丧。无论如何,只要通过愚蠢的跟踪和错误,黑客仍然能够计算出您的最小密码长度。
沮丧的用户是坏人,所以请告诉他们为什么他们的密码不好,以此来安抚他们。
如果您担心安全性,我会研究您可以控制的其他不会让您的用户密码不可信的事情。 (HTTPS,需要密码更改确认,需要最少数量的特殊字符,列表不胜枚举)。
【讨论】:
-
谢谢!我们还有其他控制措施:)
建议用户知道。这是从用户的角度来看的。如果你不说出来,他可能在你的验证方面有问题,他甚至不知道为什么..
【讨论】: