为用户分配强密码

Question

密码有很多缺点，但它们仍然是向用户提供某种身份验证的唯一技术上简单明了的方法。

让我们假设一个教育类型的系统。很多人有密码，很多人经常忘记他们的密码，很多CS学生和其他人试图伪造别人的密码--实际上，还有很多内部网络钓鱼旅行等等。

作为管理员，不知道密码不会“阻止”你进入帐户，那么，仅仅给人们分配随机的垃圾密码而不强制他们更改密码有什么坏处呢？

只是在纸条上给人们提供强有力的密码，告诉他们要保持安全，或者记住并吃掉它。

Answer 1

你将面临两个问题：

• 转移了你的安全问题

您的密码是如此强大，并且无法记住，您的系统的安全性将被推到屏幕旁边的便笺上，或者保存在计算机桌面上的某个显而易见的地方。

一个更技术性的问题是：

• 您使用的随机数生成器的安全性。

如果您正在自动生成密码，并且有人可以随时查询您的新密码(通过创建新帐户)，这是一个合理的问题。这也是很难解决的，尽管你有一些选择。通常，您希望获得尽可能多的源(random.org、热比特、在您的语言中具有加密安全性)，并将它们组合起来。但是，您不应该过多地查询在线服务，而且可能无法从它们获得足够的信息，因此您需要完全依赖从加密安全过程中检索到的服务。这是“一般”好，但我不会感到太舒服，如果我不断地分发，在一个要求-和你们-应该-接受的基础上。

就我个人而言，我不认为这是一个坏主意，在你的例子中(这是我大约5年前的一个想法，哇……)。但在做这件事之前仔细考虑一下，读一下我链接过的文章。

Answer 2

我非常喜欢生成一个作为密码的句子，如果你能用你的系统逃脱它的话。它既容易记住，又有许多字符可猜。这试图在保持相当复杂的情况下缓解“粘滞票据问题”。:-)

Answer 3

缺点是它更难记起来，而且你不会总是随身带着纸条。

就像他们在我的大学做的那样:运行密码破解程序，如果密码太弱，要求/请求修改密码。

尽管看在上帝的份上，在密码被加密之前，运行破解程序。