如果您尝试使用智能手机创建帐户,这些平台似乎没有强密码要求。它们都强制执行至少 6 个字符的限制(但我确实注意到 Twitter 似乎过滤掉了某些密码,例如 111111,而这是 Facebook 上的合法密码)。
我可以理解,执行严格的规则(例如大写、小写、数字和符号)会使用户感到沮丧,并使密码不那么容易记住。但是,我不相信当前的密码验证(或缺乏)是一个更好的选择。
为什么这些应用程序不执行上述指南?如果我现在正在创建一个新应用程序,我应该如何解决这个问题?
为什么 Twitter 和 Facebook 在注册期间不强制执行密码复杂性?
信息安全
密码
密码策略
Facebook
推特
2021-09-09 05:39:50
1个回答
Facebook 和 Twitter 有非常……具体的、有争议的安全态势。他们服务于广阔的市场,而安全领域并不总是欣赏他们所做的一切。我对您正在构建的应用程序的建议可能是不要在安全性方面遵循 Facebook 和 Twitter 的示例。
对于资源,我建议先查看OWASP。如果您不熟悉 OWASP,它们是应用程序安全方法和最佳实践的集合,提供了整个生命周期的可见性 - 从概念和设计到渗透测试。他们领导着应用安全行业,并以大量(当之无愧的)权威说话。
话虽如此,请务必查看 OWASP 关于密码强度控制的信息。如果您正在寻求有关密码强度实施的帮助,希望这可以解决您的问题。(当您在那里时,请查看OWASP 前 10 名,了解有关构建您的应用程序的其他有用提示。)
顺便说一句,很好的问题。祝你好运!
其它你可能感兴趣的问题