網路服務的密碼命名原則
 

不知道有沒有網友知道, 網路服務的密碼命名原則
有時定的很龜毛, 害得不能使用常用密碼, 然後過沒多久就會忘記, 又得重去申請

譬如限制固定幾個字(譬如就只能10) -> 改為較高的字串長度範圍(譬如10~12), 不就更難破解?
限制英文與數字都要有, 數字或英文至少各要滿幾個字, 甚至不能用符號 -> 開放符號不是更難破?
密碼錯誤幾次, 就得去申請恢復 -> 難道不怕有人惡意搞破壞, 讓大家都要去申請恢復?

若有網友知道定下規則的原因, 請賜教了

公司員工使用密碼的原則要看MIS怎麼去定的. 實際密碼是多少,通常是你自己可以改.

密碼最好自己整理一張清單保存好,你從提款機/作業系統/mail/網路銀行.....至少會有十來個密碼

不常用會忘記當然是正常的.

保存清單會是個麻煩, 若被強制要求更改密碼(有些服務會要求使用一個時間後, 得更改密碼), 就得去修改清單,
萬一清單遺失, 這下子就頭大
一時急著要用那網路服務, 但清單沒放在身邊, 又頭大

某個朋友的公司
密碼全部12位數以上起跳(數字,英文字含大小寫,特殊符號)
每個主機每個服務登入全部不一樣
規則通常都不會跟別人說(說了,就有王八蛋會去試)
但是知道規則後,會比較記得起來
反正,如果自己覺得需要用,那就自己想辦法記
不屬於你的,就不要去記
有時規則制訂,是因為系統限制
不開放符號,是怕有機會輸入跳脫字元
限定長度,可能是字串長度固定,資料庫搜尋較為快速
至於被惡搞幾次就需要重新申請,這個是合理的處理方式,你也不希望你的密碼可以被人家無限次Try吧?

要方便,就不安全
要安全,就不方便

你覺得大大的不方便,也許只是別人的輕鬆小事
但也許你覺得的輕鬆小事,卻是造成別人大大的不方便

固定字元長度 -> 為了資料庫或開發等幫助 ->
增加被破解的機會與命名麻煩, 而且不覺得變動長度有這麼難, 要是因此就拖累開發或資料庫處理速度, 那就真得太遜了

不開放符號 -> 怕程式出問題 ->
增加被破解的機會與命名麻煩, 而且大多數系統都開放了, 可能不開放的是使用老資料庫或其他原因

失敗幾次就得重新申請 -> 避免被猛try攻擊 ->
增加密碼修復麻煩, 而且若有駭客猛try所有人的帳號, 大家不都麻煩了(若有人住偏遠地區不就頭大?), 小弟想到的變通方法是, 譬如試3次失敗後, 可以鎖住8h再開放, 這樣可以兩者好處都兼備

因為你一開始只問原則
So
這些在資安人員眼中,看起來就像是不干己事般的風涼話
等你今天自己寫了一套系統
再來好好談論你如何讓你的系統又安全又方便
銀行的網路登錄可是錯三次就鎖了,提款機錯三次就把你卡吃了
8小時候再開放,你要盜用者跟原使用者比賽誰比較準嗎?

當然是事不關己啦, 但這樣說起來, 有誰敢抱怨任何的產品, 開發者都會說請你們做一套, 再來抱怨吧, 這樣就天下太平了~

提款機得先有卡才能try, 但網路銀行的密碼登錄是任誰都可以try, 不知道網路銀行是怎麼處理狂攻擊的狀況(會造成一堆人都得重新申請密碼)?
提款機的命名原則還比較簡單, 就只有數字反而比較好記,
網路銀行還得強制要有英文和數字各滿幾字等規矩, 每間的規則還可能不太一樣

至於可以變動的密碼長度, 以及開放符號, 不知道到底是做不到, 不好做, 還是不想做? 以技術來說應該可以做到
你或網友能不能介紹資安人員, 我來請教一下關於這些原則的根本原因, 這樣才能恍然大悟

但若他們要說這些原因是機密, 那也沒辦法啦... :rolleyes:

網路try密碼
是以圖型辨識 + 該IP/帳號錯誤上限來控管

然而你所謂原則
其實並不需要去問
因為每個開發者都有自己的非技術性理由
不管你認不認同 理不理解
你都只有follow的份

http://www.issdu.com.tw/index.jsp
有興趣的話去問問
我某位朋友以前在那邊做過好一陣子..
還上過雜誌..
其它的,不想說

不過像u8526425說的我很認同 :P
我目前開發的小系統
密碼沒限長度
但我限英文跟數字
我還在密碼設定那邊寫了:
如果因為特殊符號造成你無法登入,不要來找我!

雖然我有做些檢查基本跳脫字元甚至有的沒有的編碼
但是,我不是禁止,而是希望你自己能記住!
So..我寫的,我最大!


銀行你以為就不會鎖嗎?
安泰網路銀行錯了三次一樣帳號停用(停用好久了...裡面還有2xxx..結果連卡都廢了.. :jolin: )

看來也只能這樣解釋了... 無言 :agree: