Re: [閒聊] 不為人知的工程師內幕
※ 引述《er2324 (er2324)》之銘言:
: ※ 引述《KyrieIrving1 (King of Dallas)》之銘言:
: : 不為人知的工程師內幕
: : https://i.imgur.com/8IQl4hC.jpg
: : 乾我真的看不懂
: : 有沒有工程師能解釋一下XD
: 其實現在密碼要求的越來越複雜了。
: 以前--
: 隨意輸入,最多可能就限你4個字以上。
: 現在--
: 12個字+必須有英文跟數字+必須有大小寫+必須有特殊符號。
: 結果就是一堆人都記不起來,
: 反而把帳號密碼寫進記事本裡面放在桌面上。
: 稍微駭進去就看光光了XD
15 年前發明煩死人的密碼規則,Bill Burr:抱歉浪費大家時間
https://www.inside.com.tw/article/10162
最近 Bill Burr 接受 華爾街日報 訪問,提到了他很後悔也很抱歉為大家帶來這麼多困擾。儘管這份白皮書是早在一般人還用不到網際網路的 1980 年代就完成,而且 Burr 當時對此研究不深,他還是後悔讓大家設下太難懂又難記的密碼,況且其中很多規則可能放錯了重點。
-----
因為這莫名其妙的準則,結果一堆網站,特別是公務機關網站弄出一堆麻煩且一點用也沒有的規定
看看微軟怎麼說的:
-----
密碼原則建議 https://bit.ly/43d7NQn
## 一些常見做法及其負面影響
以下是一些最常使用的密碼管理做法,但是研究結果警告我們注意這些做法的負面影響。
### 使用者密碼到期要求
密碼到期要求弊大於利,因為這些要求會讓使用者選擇可預測的密碼,即由彼此密切相關的連續字詞和數字組成的密碼。
在這些情況下,下一個密碼可根據先前的密碼來預測。
密碼到期要求不會提供任何控制優勢,因為網路罪犯總會在盜取憑證後立即使用憑證。
### 密碼長度下限需求
若要鼓勵使用者考慮使用唯一密碼,建議您維持符合 8 個字元的最小長度要求。
### 要求使用多個字元集
密碼複雜性要求會縮減金鑰空間,並讓使用者以可預測的方式行動,因此弊大於利。
大多數系統都會強制實施一定程度的密碼複雜性要求。
例如,密碼需要使用下列所有三種類別的字元:
- 大寫字元
- 小寫字元
- 非英數字元
大多數使用者都會使用類似的模式,例如,第一個位置使用大寫字母、最後一位使用符號,倒數第 2 位使用數字。 網路罪犯知道這一點,因此他們在執行字典攻擊時會使用最常
見的替換,例如:$ 替換為 s、@ 替換為 a,1 替換為 l。
強制使用者選擇大寫、小寫、數字、特殊字元的組合會造成負面影響。
有些複雜性要求甚至會妨礙使用者使用安全易記的密碼,並迫使他們採用安全性較低且更難記住的密碼。
--
密碼到期要更換最麻煩,然後要設定複雜的話我都直接
用guid產生一組
原來這個講脫口秀的這麼厲害
密碼定期更換而且還不能用以前用過的我最賭爛
通常那種網站我就會直接放棄以後不上了
如果要我選最靠北的人 我會選他沒有之一
他逼很多人不得不把密碼寫下來甚至存在雲端記事本
結果變成從別的管道洩漏的機會遠大於暴力法
原意是不想被猜中 但設試錯次數或冷卻時間才是最佳解
所以我現在都用密碼管理器了
※ 編輯: DendiQ (114.34.203.27 臺灣), 03/13/2024 19:25:08密碼到期我都記三組密碼輪流用 結果還不是一樣
而且駭客要是已經知道有設原串的機制 就全部試2次就好
「由乙方」要求使用多個字元集真的是最腦弱的設計,
高中學過排列組合都知道,所有有著額外限制的排列方
式都是完全不設限的子集合,限制越多可用密碼越少,
還不如乙方完全開放,讓甲方發揮他們的創造力去。
不就索尼官方,密碼規則有夠龜毛的
7
原文恕刪 先講結論,基本上你能想到的增加自己麻煩的反人類的機制, 幾乎都無助於強化密碼安全。 至於細節,若要講怎麼設密碼來防止暴力踹密碼, 就必須了解是怎麼暴力踹密碼的。97
首Po不為人知的工程師內幕 0_o 乾我真的看不懂 有沒有工程師能解釋一下XD8
不太懂這種設計的必要性 如果是要防機器人暴力破解 設定個密碼錯誤的CD時間就好 比方說密碼錯誤3次鎖1個小時之類的 搭配基本的密碼複雜度要求47
其實現在密碼要求的越來越複雜了。 以前-- 隨意輸入,最多可能就限你4個字以上。 現在-- 12個字+必須有英文跟數字+必須有大小寫+必須有特殊符號。15
好奇想借串問一下二階段認證是有什麼嚴重的缺點嗎? 因為工作的關係,會需要一些大公司平台的帳號 但這些平台有用二階段認證的非常少 基本上還是定期換密碼+新密碼不得用前幾次相同+失敗數次後一段時間內不能登入 但問題是每個平台要求更換密碼的週期的不一樣10
確實越來越多網站密碼要求越來越複雜,沒多久又要換一次 甚至有人做了一個遊戲來調侃 回到正題 密碼管理的話我會推薦使用bitwarden之類的密碼管理器去存
7
Re: [新聞] AI 新技術「秒破解」750萬組常用密碼組合最新測試:11 字元純數字密碼 AI 瞬間破解,擁抱無密碼功能才是王道 作者 Evan | 發布日期 2023 年 04 月 14 日 8:10 | 分類 AI 人工智慧 , 網路 , 資訊 安全 每隔一陣子總會爆出密碼被駭災情,每次災情後就伴隨許多要求密碼頻繁更新並使用強固1
[問卦] 台灣的資安是不是都偏爛以系統層面來講 用露天當例子 他這個登入系統 本身密碼就不支援特殊符號 只能用英數字等最容易破解的字元 隔壁棚的pchome也只支持英數字和底線3
[問題] 台灣銀行網路銀行登入情形大家好 不好意思這個問題很玄 家母今天突然告訴我台灣銀行需要使用者密碼才能登入 我自己沒使用過台銀的一切介面 但我知道其他銀行系統通常是:3
[問卦] 真的有人註冊網站使用網站建議的密碼嗎?如題 申請網路網站帳號會員 通常需要一組帳號和密碼 帳號和密碼可能會給一些設定限制 比方說第一個字要是英文 大小寫都要用到之類的 但只要符合限制 多半是給使用者自行決定 然而有些網站3
[問題] Linksys wifi密碼大概在去年年底購買Linksys E7350,設定密碼時還可以正常使用 最近不知為何密碼跑掉,因此要重設路由器,但要設定路由器密碼及wifi密碼時,卻要求 密碼長度不能小於 10。 密碼不能有連續的相同字元。 密碼中不能有空格。3
[問卦] 系統的建議密碼真的有人在用?有時候一些網站想說密碼用久了 想要改一下 就會發現 重新設定密碼的條件越來越嚴格 必須要有大寫英文 不可連續數字 必須至少幾個字元 剛剛甚至看到 還必須要有特殊符號...... 現在想換個密碼真的越來越難想
68
[問題] 什麼時候會讓你覺得自己跟不上時代了?66
[閒聊] fate動畫順序53
[討論] 大家打過最高排位的遊戲?49
[閒聊] 披風拖到地上有特別原因嗎46
[FGO] 第二部最適合動畫化的是哪一章42
[英國] 金搖桿獎:黑悟空得年度最佳遊戲肯定42
[閒聊] 鳴潮跟鐵道今天打對台嗎?74
[閒聊] 很正的單親媽媽真的會很難找對象嗎?41
[問卦] 鬼塚英吉怎麼撐住內山田主任的霸凌?41
[鐵道] 送常駐五星自選40
[閒聊] OPENAI出現前,OPENAI出現後37
[妮姬] 朝聖鑄模要開有什麼玄學可以參考?36
[閒聊] 星鐵開大了啊 愛莉34
[閒聊] 鐵道3.0劇情應該不會搞砸吧33
Re: [閒聊] 有辦法將綠鬣蜥全部移除掉嗎?32
[閒聊] 真三八大爆炸後是怎麼做出起源這麼好玩28
[問題] 三國無雙把喜憨兒呂布做的很強做什麼?30
[閒聊] 台灣異世界轉移29
[情報] 鄉下大叔劍聖 25年4月新番28
[PTCGP]沒想到 我也有成為歐洲人一天28
[閒聊] 敗北女角 溫八賀圖27
[閒聊] Lawson即將推出 可以喝的美乃滋31
[情報] 經紀公司猛烈回擊 公開與T1談判時間軸26
[Vtub] 11/21同接鬥蟲24
[閒聊] 寶可夢台灣卡牌暴漲23
Re: [閒聊] 中華一番 極 168 不可以色色21
[鐵道] 流螢2.7後半復刻19
[問題] 關羽跟張飛是天生神力嗎?21
[妮姬] 太邪惡了!20
[閒聊] X-LAWS的潮度在死神可以排到哪裡?