单一密码与密码和用户名

Question

与单一密码登录相比，密码和用户名提供了哪些安全优势？

如果用户名必须是唯一的，则其他用户不能拥有该用户名，并且可以将用户映射到具有该id的用户帐户。当攻击者对用户名和密码进行暴力破解时，这与攻击者对单个密码进行暴力破解是相同的。但是，使用单一密码，攻击者可以尝试使用相同的密码暴力访问所有帐户。

登录到应用程序后，您的会话将使用单个密码进行身份验证，即会话id。因此攻击者可以通过暴力破解会话ids来尝试登录所有帐户。当然，会话ids通常很长，因此很难强行实现。

如果应用程序自动生成密码令牌，并为映射到特定用户的密码添加始终唯一的前缀(前缀的长度存储在数据库中)，该怎么办？所以密码实际上是用户名和密码组合，但是用户不知道吗？这种设置是否具有与用户名和密码系统相同的安全性？

Answer 1

当考虑单一密码方法时，我可以看到许多可能的问题，例如，如果你允许用户设置自己的密码，那么仅仅将密码作为登录凭据就会使你的应用程序暴露出大量的安全缺陷。

最常见的情况是，用户会注册并使用密码，例如他们的名字，或者其他一些常用的不安全的密码，从而使得暴力破解变得容易。

还要考虑这样一个事实:随着用户数量的增加，访问您的站点的可接受密码的数量也会增加，这使得暴力破解攻击更容易奏效。即使使用自动生成的密码，这也是我最关心的问题。

第三，我来尝试注册你的网站，我输入了我的密码"Bob1“，现在如果另一个用户输入了密码"Bob1”怎么办？你会告诉我密码是存在的吗？两个用户无法使用相同的密码登录到不同的帐户。

不过，这里要考虑的主要问题是，用户习惯于键入用户名和密码。就我个人而言，我不想注册一个只需输入密码的网站，最重要的是，我不想使用一个密码自动生成且难以记忆的网站。

如果你关心安全性(正如你应该关注的)，那么我建议实施严格的密码规则(过期时间、长度、内容)，并教育你的用户不安全密码的缺陷。在创建密码时，您可以检查它是否与用户输入的任何信息(如姓名/出生日期等)不匹配。

总体而言，出于安全性和可用性的考虑，我认为用户名/密码组合比单一密码更好。另请参阅http://xkcd.com/936/

Answer 2

如果你只使用密码，那么有人可能会输入一个像“helloworld”这样的单词，然后登录到一个随机的帐户。因为可能会有人在使用这个密码。

有许多人会使用熟悉的短语作为密码。它的用户便利性。

这类漏洞存在于用户名-密码组合中。