Как Вы осуществляете сильные пароли?
Надеясь, это может кому-то помочь. Каким-то образом я не смог заставить CLSLogv работать. В итоге я создал объект NSError и записал его в Crashlytics в блоке catch.
catch Exceptions.SQLiteError(let error) {
let userInfo = [NSLocalizedDescriptionKey: error.message, "query": error.query]
let errorObj = NSError(domain: "sqlite", code: 400, userInfo: userInfo)
Crashlytics.sharedInstance().recordError(errorObj)
}
8 ответов
Я не думаю, что возможно осуществить сильные пароли, но существует много вещей, которые можно сделать для поощрения их как можно больше.
- Уровень каждый пароль и дает отзывы пользователей в форме счета или графической панели и т.д.
- Установите минимальный счет пароля для избавлений от ужасных
- Имейте список общих слов, которые или запрещаются или заправляют счет пароля
Одному превосходному приему, который мне нравится использовать, нужно было связать дату окончания срока действия пароля со счетом пароля. Таким образом, более сильные пароли не должны изменяться так часто. Это работает особенно хорошо, если можно дать пользователям прямую обратную связь о том, сколько времени пароль, который они выбрали, будет жить для (и динамично обновлять ее так, они видят, как добавление символов влияет на дату).
Ничего не осуществляйте..., если Вы не защищаете финансовую информацию или что-то одинаково важное, затем не заставляйте пользователя выбрать сильный пароль.
У меня есть тот же слабый пароль на целой загрузке сайтов, которые требуют регистрации для форумов и т.д. Я действительно не забочусь, предполагает ли кто-то это и может добавить сообщения как я (и не думайте, что существует много мотивации для кого-то, чтобы сделать так). То, что я не могу сделать, помнят различные сильные пароли за дюжину сайтов и действительно не хотят использовать другую часть программного обеспечения для управления ими для меня.
Лучший компромисс состоял бы в том, чтобы показать некоторую обратную связь пользователю на том, насколько сильный пароль (на основе того, является ли это словом словаря, количеством различных типов символов, длины, и т.д.).
Почему осуществляют его?
Я нашел, что "метр надежности пароля" (панель, указывающая на надежность пароля, поскольку Вы вводите), обычно является хорошей ненавязчивой мерой. Это делает тех, кто хочет о безопасности иметь виновную совесть о слабости пароля, все же не расстраивает тех, кто не заботится так же.
Кроме того, существует проницательное эссе о том, почему периодическая политика изменения пароля является плохой идеей с сегодняшней моделью угрозы.
Это был мой опыт, что это зависит действительно от типа сайта, как Вы сказали.
Если Вы создаете банк или финансовый веб-сайт затем, пользователи обычно понимают, есть ли у Вас больше безопасного пароля, так как их персональные данные могут находиться в опасности.
Однако для сайтов, которые обычно не содержат много персональных данных, более простой пароль будет прекрасен. Они могут быть менее склонными для взламывания попыток и не получили бы ничего стоящего так или иначе.
Я также нашел, что у большинства людей также, кажется, есть пара паролей, которые они часто используют. Причем один сложен, и другой являющийся простым. Так запрашивая они используют сложный пароль, обычно не будет мешать людям регистрироваться.
Я никогда не находил, что истекающие пароли работают успешно. Как я сказал прежде, у многих людей уже есть набор несколько паролей, которые они часто используют, таким образом прошение, чтобы они вышли на улицу из этого только для Вашего сайта, может заставить их не хотеть возвращаться.
Лучший способ действительно зависит от Вашего сайта и что Вы используете. Но идеальный путь состоит в том, чтобы сделать столько на стороне клиента, сколько Вы можете, прежде чем они отправят его. Используя RegEx хороший путь. Если можно сделать их не, должны отправить форму снова, которая идеальна.
При разрешении паролям истечь, существует две известных проблемы с практикой:
- Пользователи находят более трудным помнить их текущие пароли, и таким образом, они, более вероятно, сделают, глупым вещам нравится, пишут им на постэтом, придерживался их монитора.
- Пользователи не генерируют новый, сильный, несвязанный пароль на каждой попытке. Большую часть времени они используют некоторый план генерировать пароль, подобный их старому. Поэтому, если взломщик получает старый пароль, для них все еще довольно легко вывести более нового.
Править: Который не должен говорить, что я против всей этой мысли, но просто что это нужно рассмотреть наряду с другими факторами.
Существует инструмент Ajax, PasswordStrength, который даст пользователю общее представление, если их пароль будет хорошо работать. Мне нравится он, потому что это не должно запрещать создание пароля.
http://www.asp.net/AJAX/AjaxControlToolkit/Samples/PasswordStrength/PasswordStrength.aspx
Я никогда не видел сделанный, но кажется, что это работало бы замечательно: страница создания пароля могла иметь расширяемый список, скажем, 50 наиболее распространенных паролей, вынуждая пользователя прокрутить немного вниз прежде, чем ввести в их пароле. Это, объединенное с предложением Средств проверки, сделало бы много для предотвращения небрежного выбора.
Однако решая проблему предотвращения повторного использования пароля... никакая подсказка.