最近のGawker Media password leakに照らして、私は多くのユーザーが同じパスワードを共有していることに気付きました。より強力なパスワードを奨励するために、のパスワードが一意に制限されている場合は、が役に立ちますか?パスワードフィールドは一意でなければなりませんか?
(アカウント作成のパフォーマンスのほかに)私が考えることができるただ一つの欠点は、誰かがパスワードとして与えられた文字列を使用していることを知ることができることです。この知識は、ユーザーのリストと組み合わさって、非常に危険です。
リピートパスワードを許可しないというメリットを維持しながら、そのマイナス面を緩和する方法はありますか?
XKCD kick botのように、 "yah"や "lol"のような短い、元来の文章を繰り返すことは許されません。
編集^ 2:あなたはハッシュに対してユニークであると思っていましたが、塩を変えて誰かが指摘したように、意図した効果はありませんでした。良い目!
絶対にではなく、です。
システム外部のユーザーがパスワードに関する情報を入手できないことは重要です。パスワードが使用できないことを発見することによって、どのパスワードが使用されているのかを簡単に推測できれば、既知のユーザー名でこれらのパスワードを使用してアクセスを得ることができます。
代わりに、共通パスワードのデータベースを見つけ、それを使用できないようにすることもできます。
あなたはすでに強力なパスワードについて、ユーザのを教育のすべて
eeeuh
質問が誤っている可能性がありますが、実際のパスワードを保存しないことを願っていますか?
パスワードをランダムな塩でハッシュする必要があります。そうすれば、は、1人以上のユーザーが同じパスワードを持っているかどうかを判断する方法がありません。
どのような方法でも、2人以上のユーザーが同じパスワードを持っているかどうかを判断できるシステムでは、誤った方法でパスワードを保管しています。
は本当にない
限り、あなたは塩を持っているように、パスワードはとにかく同じように保存されることはありませんありません。
パスワードのセキュリティを確保したい場合:
チェックアウト私はredditの上でそれについて行われ、ポストにバンドルすることができます。 http://www.reddit.com/r/netsec/comments/ektb8/in_the_light_of_recent_gawker_breakout_lets_talk/
投稿に「あなたはランダムな塩を使用していません」と記載しています。http://stackoverflow.com/questions/1645161/salt-generation-and-open-source-software/1645190#1645190(塩あなたが塩を使用していない、ランダムではないものを使用する場合は、代わりにキーを使用しています) – Jacco
パスワード管理が正しく行われている場合、パスワードを知っている唯一の人は、パスワードを最初に作成したユーザーです。私のウェブサイトでは、決してパスワードをどのような形式でも保存しません。私は一種のユニークな "塩"パディングで操作されるパスワードの暗号ハッシュ(SHA-1またはいくつかの変形)を保存します。基本的に、2人のユーザーが一意のパスワードを持っていれば、教える方法はありません。
あなたが渡したリンクのほとんどのパスワードは、簡単に推測できる辞書パスワードです。非常に弱く、ブルートフォースに簡単です。基本的なパスワードチェックを行うシステムでは、これらはすべて許可されません。
グローバルに一部のパスワードを許可しないほうがずっと安全だと思います。私のシステム上の一部のユーザーにとって、どのパスワードも有効であることを明らかにすることは、あなたが開示したくないものです。 – Joe