Sto sviluppando un sito web e sono curioso riguardo alle tendenze attuali nella natura delle password. È bello obbligare gli utenti a usare una lettera, una maiuscola, un numero, un carattere speciale ... ecc. Incoraggia gli utenti a creare password più efficaci o è solo un ingombro? Attualmente sto pensando a una lunghezza minima e per essere in ascii. Qualcuna delle altre cose che vale la pena usare?
Basato sulla formula di Anderson - > link
La cosa più importante è la lunghezza della password, la seconda cosa più importante è il numero di possibili segni / lettere / numeri.
Se vuoi applicare una lunghezza minima di 20 password, sarai a posto solo con le lettere.
20^24 = 16777216000000000000000000000000
Se meno di questo, ma più di 15 sarai ok con i caratteri alfanumerici.
15^34 = 9707397373664756887592375278472900390625
Ciò che viene spesso trascurato è la sicurezza della password fisica - la password difficile da ricordare viene spesso scritta su una nota post-it, oppure può essere facilmente riconosciuta quando qualcuno guarda da sopra la spalla perché la digiterai lentamente e con attenzione. Preferisco password più lunghe con più parole facili da ricordare.
io non sarò più sicuro della password - al momento è indistruttibile e lo ricorderai più facilmente di $% FD # sffe2e
Credo che sia certamente appropriato impostare restrizioni sulle password. Ma dipende da cosa stai cercando di proteggere!
A seconda di quali informazioni il tuo sito (e il suo sistema di autenticazione) sta proteggendo. Potresti riuscire a superare le limitazioni di impostazione per:
min_length = 6 e non scadono mai. Pur non richiedendo alcuna forma di caratteri speciali.
Ma se il sito contiene informazioni veramente sensibili dovresti stabilire restrizioni molto stringenti.
Le impostazioni di sicurezza del tuo sito devono essere commisurate all'importanza dei dati che stanno proteggendo.
Detto questo, puoi andare lontano. Richiedere una password lunga 32 caratteri e forzare una modifica ogni 10 giorni sta per diventare utente di rabbia, incoraggiarli a scrivere la password in basso o forse a non preoccuparsi nemmeno di usare il sito (trovare qualcos'altro) ..
In sintesi - L'ultima raccomandazione che ricordo di aver letto (non ho un link per te) era di almeno 12 caratteri con almeno un numero o un carattere speciale. Inoltre, considera l'implementazione di un sistema che disabilita un account per un determinato periodo di tempo (30 minuti, 2 ore, qualunque sia) dopo la quantità x di accessi non riusciti.
spero che questo aiuti ..
Leggi altre domande sui tag passwords password-management password-policy