如何用正则表达式进行密码验证？

Question

条件:密码必须至少包含8个字符,这些字符结合使用以下至少2个字符:大写和小写字母,数字和特殊字符.

哪种模式适合条件？

Answer 1

正则表达式是完全错误的方法.而是简单地计算每种字符类型的出现次数,然后简单地使用if语句和布尔逻辑来检查是否满足您的要求.

但是,重新考虑一下你想做什么是个好主意:

• 限制符号是一个非常糟糕的主意.应该允许任何角色
• 当密码具有一定长度时,需要例如符号/数字/混合大小写失去其目的.此外,攻击者无法知道某些用户是仅使用小写字符还是仅使用密码中的数字,因此他无法调整暴力攻击以仅使用这些字符 - 并且因为您希望限制不正确的登录蛮力不是反正是个好选择.
• 想象一下来自着名的xkcd的 "正确的马电池主食" .虽然所有这些单词都在字典中,甚至可能无法通过不正确的密码检查,但它非常安全.虽然单个字典单词非常不安全,但它们的多个单元将易于记忆和安全(攻击者必须尝试所有例如4字组合,即使只有1000字的字典也是A DAMN LOT).

所以更好的密码策略会:

• 拒绝明显错误的序列.这是连续的数字,如12345或54321.qwertz,qwerty等也很糟糕.
• 拒绝可以在字典中找到的任何密码.确保使用英语词典和您网站支持的每种语言的词典.
• 拒绝任何其他可能不安全的密码.包含用户名(即使向后)？不.包含用户电子邮件地址@之前的部分？不.包含他的生日？不.
• 至少需要8个字符(正如您已经打算做的那样).

IT安全堆栈交换网站上还有一篇有趣的帖子,您应该阅读:短复杂密码或长字典密码？