如何强制使用强密码？

Question

有许多技术可以在网站上强制使用强密码：

• 请求密码传递一个复杂程度不同的正则表达式
• 自动设置密码，以便普通用户有强密码。
• 让密码过期
• 等。

另一方面，也有一些缺点，因为所有这些都使用户的生活变得不那么容易，意味着注册次数减少。

那么，你使用什么技术呢？哪一个能提供最好的保护和不方便的比率？

为了澄清问题，我指的不是银行网站或存储信用卡的网站。考虑更多的流行(或不那么受欢迎)的网站，仍然需要注册。

Answer 1

我不认为强制使用强密码是不可能的，但是你可以做很多事情来鼓励他们。

• 对每个密码进行评分，并以分数或图形条等形式给用户反馈。
• 设置一个最低的密码分数来剔除那些糟糕的密码。
• 列出禁止使用的常用单词，或者输入密码得分。

我喜欢使用的一个优秀的技巧是将密码的过期日期与密码分数挂钩。所以更强的密码不需要经常更改。如果您可以给用户直接反馈他们所选择的密码将持续多长时间(并动态地更新它，以便他们能够看到添加字符对日期的影响)，这一点尤其有效。

Answer 2

不要强制执行任何..。如果您没有保护财务信息或其他同等重要的信息，那么不要让使用户选择一个强密码。

在所有需要注册论坛等的网站上，我都有同样的弱密码。我并不在乎是否有人猜测它，并能以我的身份发布消息(也不认为有人这么做有什么动机)。我所不能做的是记住十几个站点的不同强密码，并且不想使用另一种软件来管理它们。

最好的折衷方法是向用户展示一些关于密码强度的反馈(基于密码是否是字典单词、不同字符类型的数量、长度等)。

Answer 3

为什么要强制执行？

我发现，“密码强度表”(一个指示密码强度的栏)通常是一种很好的非侵入性措施。它使那些关心安全的人对密码的弱点感到内疚，却不让那些不那么在意的人感到沮丧。

另外，还有一篇关于为什么定期更改密码策略在当今的威胁模型中是个坏主意的有见地的文章。