强制使用弱密码标准的网站(更新)

Question

请注意:我不会给那些对他们的客户和用户有这些可怕标准的网站起名字。

就在最近的几个月里，我不得不在例行更新中更改我的密码，我使用的几个主要服务迫使我降低了密码标准。这些较弱的标准是特殊符号(!@#$%^&*)和其他特殊要求，我所有的密码都必须具备。

我的密码使用他们的密码标准出现的几个主要问题如下：

• 不能以数字开头
• 不能有特殊的性格
• 必须最大长度为8至12个字符(取决于服务)

为什么他们会用这些要求来提升较弱的密码呢？

我认为密码应该是(目前的)只要我们想要的，有特殊的字符，谁在乎它是否以一个数字等开始，等等。

更新1

我可能忘记了正在发生的事情的细节，但我可以提供更多关于我在这里看到的问题的信息。

其中一个是我的银行公司，另一个是我的手机服务提供商。鉴于我住的地方，我被这两项服务困住了。这些服务被广泛使用，因此它们应该能够承担高质量的安全保障.

Answer 1

如果您对多个不同的站点使用相同的密码，那么您正在做一些错误的事情。每个密码都应该是特定地点的.因此，“较弱的标准”没有理由对“所有密码”产生任何影响。

(类似地，没有合理的理由定期更改所有密码。有一个普遍的习惯，频繁更新密码，但这是一个“常见的做法”，当然不是“最佳做法”)。

如果您有特定于站点的密码，那么设计不当的要求只会影响该站点。最终，每个站点都维护自己的安全性，它们的“密码要求”也是其中的一部分。如果站点强制设置的最大密码大小为8个字符，则这意味着：

• 网站所有者对安全没有很好的把握。
• 这个网站很可能在很多方面都很薄弱；奇怪的密码要求通常只是冰山一角。

因此，将注意力集中在密码上就忽略了重点。该站点的安全性很差，除了隔离这个麻烦的站点之外，您什么也做不了，这是通过不重复使用密码来完成的。

Answer 2

弱密码规则的

解释

很明显这些都是糟糕的规定。但以下是一些可能的解释(或“解释”)：

不能以数字开头

网站所有者可能实际上认为这是一条好规则。以防止例如1234546或仅仅在一个普通短语前面加上'1‘(例如1password)

不能有特殊的性格

所有者可能担心他们的系统(表单、加密算法、.)无法处理特殊字符或这些是安全风险。

必须最大长度为8至12个字符(取决于服务)

一些加密算法在8个字符后截断密码。这并不意味着密码不能更长，但所有者可能会这样认为。他们还可能害怕用户输入一个异常长的密码，他们可能担心这个密码会破坏他们的系统。

再说一遍，这些不是很好的理由，但可能有人会这么做。

关于更新的

：为什么不更改这些规则？

此外，这两项服务，我被困在我的地区和我居住的地方。

以及：

有了这么多的资金、资源和行业中的一些IT员工，他们就应该达到标准

听起来他们并没有很大的动力去改变。如果只有两家公司提供一项重要的服务，那么失去客户的可能性似乎不大。根据国家的不同，等待一场诉讼(甚至可能不会到来)和(万一它赢了)支付一些少量的钱可能是省下来的。

而改变一个大系统并不像听起来那么容易。如果它是一个旧系统(它很可能是这样)，那么它可能实际上无法处理特殊字符(特别是并非所有的utf8字符)。为什么现在要改变它呢？(这可能是他们所想的--如果这甚至是他们意识到的问题)。

Answer 3

强制使用较弱密码的原因之一是较弱的密码更容易为用户记住。当用户忘记密码时，必须使用自动密码检索过程。这样的程序通常需要将明文密码发送到电子邮件帐户。这提供了很多的攻击表面，这是不受控制的网站。用户忘记密码的次数越少，启动此过程的次数就越少。

另一方面，密码强度很重要的攻击场景，比如强制登录表单或窃取数据库等，都在他们的控制之下。他们可以采取措施防止这种情况。

当人们需要在他们能控制的风险和他们不能控制的风险之间做出选择时，他们倾向于选择第一个。