【发布时间】:2010-09-09 11:25:15
【问题描述】:
我在一个 Intranet 站点上工作,需要从以下两种方式中选择一种: 1. 当用户可以将密码更改为他喜欢的任何单词时禁用一个选项,例如 pass123。这样会有一个按钮使用一些复杂的算法生成一个新密码,然后用户接受它的使用。 2. 制定标准的密码修改功能。这样用户可以输入他喜欢的任何密码并保存。 谢谢。
【问题讨论】:
标签: security passwords intranet
【发布时间】:2010-09-09 11:25:15
【问题描述】:
如果是 Intranet 站点,则通常应通过 LDAP 处理身份验证,而不是显式输入密码。
【讨论】:
-
大声笑我想说这个,但我通常会因为这样说而被激怒。 +1
-
@Longpoke:偶尔被激怒是进入 SO 的代价。 :-)
-
@Longpoke:我实际上看到过使用基本身份验证而不使用 SSL 的 Intranet 站点。主动交换机使嗅探变得困难并且实际身份验证仍通过 LDAP 进行,这一事实将这种疯狂程度降至最低。
我会说如果你只给用户一个生成新密码的按钮很好,那么他不能在每个站点上使用相同的密码。
【讨论】:
-
不,如果您为用户生成密码,他们将无法记住它,所以他们会通过写下来来打败整个要点,可能在黄色便签上他们会附在他们显示器的侧面。
-
@Steven:将其存储在浏览器等中。您希望我记住我使用的 50 个不同网站的不同密码吗?不。在 hell 中没有办法我对他们都使用相同的密码。密码是一种遗留解决方案(在极少数情况下它们是可以接受的,例如加密磁盘或智能卡),我们拥有真正的身份验证技术,但在此之前,您最好使用一个长的随机密码,也许只有一个您真正记得加密的密码你的磁盘。或者...您想使用来自公共网络的邮件等吗?这也是不安全的。
-
如果它存储在浏览器中,你还不如给他们一个持久性cookie。
-
无论如何,密码不会消失。在办公室,我有智能卡和磁盘加密,但我仍然需要知道我的密码。
-
@Steven:Cookie 本质上是易变的,所以这不是一个好主意。我个人为每个站点使用 100-200 个字符的密码,因为它们缺乏适当的身份验证,它也同样有效。最后,这真的无关紧要,因为 99.9999% 的开放网络在很多方面都是不安全的,但这只是个人使用的好习惯。我同意密码是有用的,但这对于开放的互联网来说是一个可怕的想法,对于内部网络来说更糟糕。
如果您有密码强度策略,请在用户选择新密码时在表单上明确说明,如果密码强度不够(选项 1),请不要接受。
【讨论】:
-
这当然是很好的一般建议。不过,不确定它在这里是否有帮助。
这取决于您希望网站的安全程度。
如果您允许他们更改自己的密码,那么我建议您使用某种“密码强度”视觉辅助工具来帮助他们选择强密码。那么可能只有强密码除外。
只允许他们将密码更改为由复杂算法生成的另一个密码可能会导致他们不记得它,但是这样您总是可以依靠强密码。将密码通过电子邮件发送给他们意味着他们不必在某处写下来,即使写下来了,它也会被安全地隐藏在他们的电子邮件登录后面。
【讨论】:
-
呃,不,向他们发送密码是个坏主意。即使他们忘记了,也只需向他们发送一个链接,他们可以使用一次来设置新密码。
-
再次取决于安全级别。最好不要在他们设置密码后通过电子邮件发送给他们。但是,如果他们忘记了密码并且无法登录系统,您可以通过电子邮件向他们发送重置密码的链接(这需要一些安全问题的答案),或者您可以向他们发送一个新的随机密码,他们必须更改该密码登录后。
-
再次,不。向他们发送可用于更改密码的链接比向他们发送密码要好得多,因为前者可以快速过期且不可重复使用。这些都不是正确的做法。当您第一次回答时,我没有对您投反对票,但由于这已被错误地接受,我现在投反对票以将其标记为已损坏。
-
我同意你的链接。我只建议密码的电子邮件,因为它内置在许多网站使用的 asp.net 会员密码恢复中。