为什么有些网站/应用程序要求密码必须以字母开头？答案

【问题标题】：Why do some websites/applications require that passwords must begin with a letter?为什么有些网站/应用程序要求密码必须以字母开头？
【发布时间】：2014-12-18 04:17:34
【问题描述】：

一些网站/应用程序要求密码必须以字母开头，我觉得这很愚蠢。这很烦人......并且密码熵（安全性）大大降低。所以我的问题是......有一些开发人员会选择这个的原因吗？

我能想到的唯一原因是：

他们是羊（在其他地方看到它需要，只是复制了趋势）
有些人只是实现它，因为那是他们知道的小正则表达式
只是为了给客户营造一种虚假的安全感

（因为我正在开发一个应用程序来管理用户密码并想提醒用户如果网站要求这样做，他们不应该信任他们的安全性）

【问题讨论】：

这个特殊的要求也让我很恼火，特别是因为它缩小了可能匹配的范围，而不会激励用户想出比平均水平更难预测的东西。在我看来，“最小大小为 8，大小写字母和数字”约束似乎在提供用户激励和不过度缩小匹配集之间提供了良好的平衡。不过，我仍然更喜欢“弱中强”反馈方法。

标签： security passwords requirements

【解决方案1】：

关于安全性，这样的密码要求没有任何意义，您自己已经给出了答案。不过，我认为没有必要发出警告，因为实现不一定是不安全的。

在我看来，密码的唯一合理限制是最小长度。其他要求可能会干扰良好的密码方案，实际上会降低密码的强度，因为用户会切换到较弱的密码，例如“Password2014”。

【讨论】：

该实现不安全，因为它减少了密码熵。我强烈同意用户在选择受限时会切换到较弱的密码，因为他们对密码的首要关注是容易记住它们。因此，添加一个削弱密码的额外要求，从我看到的内容中没有任何用处，并促使用户选择较弱的密码，因为它限制了他的选择，这绝对是考虑到开发人员如何设计整个应用程序/网站的一个强有力的线索。在设计密码要求时，这是一个糟糕的选择。
@hi-XBOty - 这也是我的观点，并且提到的限制真的没有用。另一方面，在很多地方都推荐了很多限制，因此很容易认为它们很重要。即使是做了一些研究的开发者，也可能认为他必须实施这样的限制，或者可能是老板要求的。
@hi-XBOty 虽然我也强烈同意用户在选择受限时会切换到较弱的密码，但我还必须观察到，当他们的选择受限时，他们会切换到更弱的密码无限，因为你提到的原因。