密码强度能用PAKE协议强制执行吗？

Question

密码强度策略，即:必须包含至少8个字符必须包含一个大写字母必须包含一个小写字母必须包含一个数字。

如果使用PAKE协议，例如不透明协议，是否强制执行？这些协议(例如，不透明协议)是否有任何方法来证明密码符合上述规定。与PAKE一样，密码永远不会到达服务器，客户端检查也很容易被绕过。这是否意味着在PAKE中，用户可以使用3或4个字符的密码(当然也可以更低)？

我知道我可以通过加密和比较输出来检查常用的密码&特定的密码，例如历史用户密码。但是，当然，检查每个密码组合最多8个字符的输出是不可行的。

我只想检查符合此策略的历史密码&普通密码。

服务器端是否有任何方法来证明客户端的输入符合类似于不透明的协议？考虑到服务器从未真正看到密码。

这是否意味着使用PAKE (例如不透明)可能会降低密码安全性？

编辑:我知道执行最低限度的字符要求(例如:一个数字，等等)是有争议的。上述政策只是一个例子。

Answer 1

不，你不能通过技术手段来执行客户端政策。正如您提到的，使用修改后的客户端的人可以绕过您在实现中所做的任何限制。但这意味着至少有一些用户打算使用特别弱的客户端，这似乎是不寻常的。您的用户会有什么理由来避免您的官方客户？

虽然您不能阻止某人在您的系统中进行最终运行，但是您可以使用策略棒来要求人们只使用经过批准的客户端。您可以对他们的系统进行审计，以确保他们安装了官方客户端。您可以使用诸如代码签名、应用程序白列表、病毒扫描和/或文件完整性监视等技术手段来帮助确保它们不安装流氓客户端。如果您发现他们正在使用外部网站进行生成和交换密钥等操作，请将该网站添加到防火墙的黑名单中。让做错事更难。

也许您可以要求他们只从运行在防火墙后面的堡垒主机中管理这些特定的密码。堡垒主机将被锁定，并只用于这些特定的安全操作，然后任何交换的密码将复制回客户端。我并不是说这是最安全的选择，只是说这可能是控制用户行为的另一种方式。类似地，您可以在PAKE系统前面提供包装服务，并使用包装器测试密码一致性。当然，这些方法给您留下了一个堡垒主机或包装器服务，您必须对其进行保护、管理和检查，这可能是一个更大、更昂贵的问题。

有时候，你所能做的就是陈述你的政策(以及对不遵守规定的可怕惩罚)，并期望人们遵守它。考虑一种仅适用于策略的方法，直到它被指控(或证明)用户正在规避它。