W piątek musiałem zmienić hasło na stronie klienta. Zasady, które mają, są śmieszne. Wszystkie są standardowe i muszą zawierać wielkie litery, znaki interpunkcyjne, minimalną długość itp.
- Pierwszy znak nie może być znakiem interpunkcyjnym.
- Brak słów w słowniku.
- Tego samego znaku nie można użyć dwukrotnie.
Problem polega na tym, że są one tak złożone, że prawie niemożliwe jest ich znalezienie, zwłaszcza że komunikat o błędzie nie mówi o dodatkowych wymaganiach.
Zadzwoniłem do działu pomocy technicznej i powiedzieli: po prostu użyj takiego Pa5word # (nie prawdziwego hasła), a następnie zwiększaj liczbę ...
Uważam, że te systemy są całkowicie szalone, ponieważ powstrzymują cię od używania haseł, na przykład „thisismypasswordforjanurary” jest bardzo łatwy do zapamiętania i bardzo bezpieczny, ale większość systemów nie zezwala na tego typu frazy.
Głosowałbym więc na wysoką minimalną długość, powiedzmy 15-20 znaków, że ludzie nie mogą po prostu używać słów, a hasła w stylu l33t nie są wymagane.
Cokolwiek wybierzesz, upewnię się, że udokumentujesz, jakie są ograniczenia i dlaczego one istnieją oraz kilka przykładów dla użytkowników, które pomogą im wygenerować bezpieczne.