用户是否可以输入密码,例如"12345"或"12345" - 开头或结尾的空格?或者你会修剪密码以删除前导或尾随空格,因为它可能只是输入错误.
Tom*_*ter 55
是的,他们应该.
不,你不应该修剪它.
Jos*_*ley 33
我来告诉你一个故事.
我需要在电子商务网站上创建一个帐户,所以我运行我的随机密码生成器来制作一个8个字符的上/下/数字/标点符号密码,粘贴两次以确认它,完成注册我的所有个人信息,以及将随机密码保存在本地PGP加密文件中供以后使用.
后来我尝试登录,但再次粘贴密码不起作用.经过一些测试后,我惊恐地发现该网站已经删除了原始密码中的所有标点符号,在一些误导性的消毒尝试中,将我的密码减少为三个容易暴力破解的字母.
不要修剪或消毒用户的密码.
Bod*_*den 17
永远不要"清理"密码只是为了解决"输入错误".这会使用户感到困惑,并且在某些情况下使他们无法登录.事实上,不要在用户的背后更改密码......总是警告他们密码无效并让他们尝试新的密码.
我最近遇到的一个很好的例子是使用3Com交换机.Web界面允许我更改管理员密码,但没有提醒我密码限制为八个字符.我输入的密码长度超过八个字符.当我在更改后尝试登录时,它只是拒绝了我的密码.但是,如果我只使用前八个字符,我就可以登录(我试用和试错,不好玩).
这些天的密码看起来并不像过去那样.例如,我的密码通常如下所示:
Man, this program is really ticking me off!
做出这样决定的那一刻就是你开始沿着微观管理的道路走下去的那一刻(在这种情况下是你的用户).
包含空格的密码是否会破坏您的系统?或者是安全风险?然后别担心.让您的用户处理他们自己的错误,即使这意味着他们必须感到沮丧.他们的错字应该永远不是你的问题.
我曾经多次去过一个会议,有人登录到他们的帐户进行演示,因为计算机显示器已经在大屏幕上显示,没有正确地将焦点改为密码字段,因此他们的密码显示为全体观众.
任何可能需要在他人面前输入凭据的人都应考虑在密码中保留一个或三个尾随空格,以防万一.在构建身份验证系统时,您永远不应该修剪这些空间.
我投票支持:不,他们不应该:
不允许用户在密码的开头和结尾使用空格有一个很大的好处,那就是它消除了用户复制并粘贴密码(例如从电子邮件中)时经常出现的问题,并且它包含空格,而空格是不可用的。不是密码的一部分。
然后用户会感到沮丧,认为系统已损坏并联系支持人员。开发人员立即被拉到项目中来检查“有问题的”登录过程,结果却花了一天的时间直到他/她意识到问题为止。
我认为在创建密码时执行此策略解决的问题比它产生的问题更多。