用户注册时推荐diceware

Question

密码生成的迪克瓦尔方法简单、安全、易用。

在网站上注册帐户时

• 为什么网站不建议他们的用户使用diceware方法？
• 为什么网站不包括一个基于diceware的密码生成器？
• 还有什么其他原因使这成为一个坏主意？

Answer 1

这也许不是个坏主意，但无论如何也不值得。以下是我能想到的几个理由：

• 实现一个安全的密码生成器并不简单，因此这将是站点开发人员需要考虑的另一个问题。
• 在每个网站上推荐强随机密码意味着用户最终会对每个网站拥有不同的强随机密码。但是为了管理这些密码，他们需要一个密码管理器，因为他们不能记住所有的密码。密码管理器通常已经包含了一个强随机密码生成器，那么在网站上实现另一个密码生成器的目的是什么呢？
• 在线服务甚至不需要非常强的密码，因为强暴是相对缓慢的，而且很容易检测到。因此，检测攻击、节流和禁止是一项更好的投资。
• 使用您无法信任的在线密码生成器被许多安全专业人员认为是错误的做法。即使仅在生成密码的网站上使用密码就可以减轻风险，但仍然会感到错误。我不认为这是一个好主意，实施一些对许多专家来说是“感觉不对”的事情。因此，这是另一个理由，坚持常用的最佳做法，并生成您自己的密码离线。

Answer 2

因为它不能解决密码重复使用的问题，这是互联网用户不那么精明的最大问题之一。人们仍然只能在没有帮助的情况下记住这么多密码。

然而，大多数密码管理解决方案(纸质笔记本除外)既提供了按站点存储密码的能力，从而避免了重复使用，也提供了生成适合各种站点密码要求的长而随机的密码的能力，这使得对Diceware的需求变得有些过时。

此外，考虑到仍有许多网站的基本密码卫生(不咸、不散列或不适当的哈希)不断被发现，你真的会相信任何地方都能安全地做到这一点吗？如果这成为一种常见的做法，我们将有一个全新的math.random()矢量来享受。