Chr*_*ris 4 security encryption passwords dictionary brute-force
谢谢你的期待.所有真诚有用的答案都被投了票.
我使用密码强度计让用户知道他们选择的密码有多强.但是这个密码检查器显然没有涵盖字典攻击密码的弱点.我该如何检查,是否值得?
此外,我的常规密码检查器最初在浏览器中使用javascript运行(无需传输).如果我想检查字典攻击弱点,我必须将其传输到脚本.我的理解是我不应该明确地传达它.
有人可以帮我解决这个问题.如何检查密码在字典攻击下是不是很弱,如何在传输到我的脚本之前对其进行加密?
额外信息:
除了常规密码计之外,为什么我认为我还需要字典攻击检查?正如你们中的一些人所指出的那样,用户可以选择像P @ ssword或Yellow12这样的密码.但是我遇到的大多数密码强度检查器都将此视为一个好密码.至少我正在使用Yet Another Password Meter而且确实如此(我实际上认为它是更好的密码检查器之一.)如果有人知道更强大的密码检查器,请提及它,但前提是您确实根据经验知道它更强壮;)
但我的问题是:我如何对密码进行字典攻击检查?我在某个地方看到它是针对哈希做的,但我在哪里进行搜索?一旦我知道如何做到这一点,我将决定它是否值得.
感谢所有到目前为止帮助过的人:)
意见会有所不同,有些人会说检查词典单词很重要.我不同意,而是倾向于要求不同的字母,数字和特殊字符,例如!@#$%^&*()_- = +.密码显然应区分大小写.
字典攻击在数字和特殊字符存在的情况下成功的可能性要小得多.可以说有1000个常用密码.现在添加一个必需的大写字母和特殊字符让我们假设用户是"懒惰",他们选择制作第一个字母大写并在末尾添加一个特殊字符.1000大小的字典现在超过30,000.
此外,应该有帐户锁定以避免字典攻击.并且可能会限制IP地址根据您的应用程序尝试登录的频率.
在运行脚本时,可能仍有一些情况需要避免使用一些非常常见的密码.例如,我不允许使用密码p @ ssword或密码的任何变体.
编辑:验证码虽然被大多数人(包括我)所厌恶,但在登录失败后也可能是合适的,以避免暴力登录尝试.
| 归档时间: |
|
| 查看次数: |
2565 次 |
| 最近记录: |