gpt4 book ai didi

passwords - 用户名和密码的首选长度是多少?

转载 作者:行者123 更新时间:2023-12-04 02:06:05 25 4
gpt4 key购买 nike

我正在开发一个登录模块。我只是想知道您可以允许的用户名和密码的首选长度是多少,为什么?

提前致谢!

最佳答案

对用户名设置任意大小限制没有什么意义。但是,如果需要(例如,对于数据库列宽),则应使其足够大,以免日后后悔。

(在我工作的地方,帐户名是8个字符,所有员工的前两个字符都是相同的。在我以前工作的地方,帐户名是3个字符,最初是根据用户的姓名首字母分配的。我的 作为中间字母,我的中间名不是Xerces。失败。)

对密码设置大小限制是错误的想法。

这个主意不好的主要原因是用户密码越长,密码越熵大,因此猜测就越困难。通过限制密码长度,可以鼓励用户使用错误的密码。 (不幸的是,并不是典型的用户需要很多鼓励。)

第二个原因是它建议您将密码存储在数据库表中。那将是一个很大的错误,因为如果您的系统安全受到威胁,它可能会使用户的密码暴露出来。您应该在数据库中存储用户密码的盐化加密哈希(其大小可能有限),并通过对招标的密码进行哈希处理并将其与存储的哈希进行比较来检查招标的密码。



如果您正在谈论最小长度(对于密码),则可能应该关注熵而不是密码长度。 (由20个“ 1”组成的密码比随机生成的6个字符的序列安全性低。)




我想我会寻求答案。种子密码哈希打开了我的主意,我不再担心长度,而且它更加安全。谢谢!


(应该加盐...我的烂。)

我只想纠正我上面所说的可能造成的误解。长密码不一定是一个好的密码(按照示例)。但这并不意味着您不应该“担心长度”。太短的密码(甚至随机密码)太容易猜到了。

如果您的目的是阻止/阻止用户设置容易猜到的密码,则当用户设置/重置其密码时,应使用某种密码质量检查器清除“不良”密码。

通过Google搜索“密码熵”或“密码熵测度”,您将获得一些潜在客户。这是附近的一个:

(注意:加密哈希方法是关于不存储密码...与密码的长度无关。无论您的软件如何处理,不良的密码都是不安全的。)


https://security.stackexchange.com/questions/4630/how-can-we-accurately-measure-a-password-entropy-range

关于passwords - 用户名和密码的首选长度是多少?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/7035974/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com