Medium:数字密码不允许有重复的数字是个好的设计吗?
不知道我的看法对不对,希望跟大家讨论下

只允许重复一次算错了,重新算了一下,感觉这次应该算对了:)

这个规则是双刃剑。现在各种 APP/网站,要求的规则都不一样,于是普通人要记很多密码。回头就忘记了。别说什么密码管理器,我说的是大多数普通人。所以手机号验证短信作为反而是更好的方案。

#1 如果依赖于机号验证短信,那么锁屏密码就变成了唯一的密码了;之前思考过一种情况,如果能够拦截一个人的短信,那么是否这个人所有的网络信息都可以被窃取到。

数字完全不允许重复是把风控完全抛给用户的粗暴设计。 根本不在乎用户能不能记得住,也不在乎用户找额外的手段例如手写 备忘录 app 等方式造成的泄漏高风险。 面对用户质疑他们只会回应“我们要求密码足够复杂了,你记不住你泄漏了责任是你”

很显然对不同的操作有不同的风控等级,直接让用户所有操作都走最高置信度的验证是不必要而且增加泄漏风险的。密码 短信 人脸识别。多种方式根据不同风控等级组合使用才是正解

不放回抽取,如果知道这个规则岂不是更好破解

相比漫天遍野的密码泄露,短信反而是比较安全的

天天琢磨这个不如想想怎么赶紧支持 passkey

#2 手机端防一下伪基站这个问题会得到不少缓解,如果没有的话,你说的这个风险确实挺大。

“如果不允许一个数字被设置 3 次或以上呢,密码组合有多少”你的计算是不是默认了只有一个数字被重复 2 次?允不允许多个数字重复 2 次?

光从排列组合的数量来讲,并不是能允许的密码数量越多越就越安全。一个禁止 123456 和 654321 的系统会比不禁止的安全,因为这两密码太常用了。

任何透露密码相关规则的信息都会使密码暴力破解变得更容易

其实也还好, 如果是证劵 APP, 正常都是直接起一个超级变态密码, 然后短信登录.相当于变相阉割密码, 跟政府网站差不多.

四位或者 6 位数字,人为减少概率就不是一个好主意。本来是 10101010 ,强行改为 10987.如果是简单密码的,所有四位数字都是简单密码,1234 算不算,5678 算不算。不会就抄,学手机锁屏加上失败等待时间。

这应该是初中数学题吧

鸡蛋不要放同一个篮子,正常的密码强度要求+强制二步验证普通但实用

强烈反对手机短信 用邮箱就很好 只要你邮箱够安全

登录邮箱不一样要输密码,而且邮箱被入侵了丢的东西更严重,比如设置了自动转发到盗号者信箱

其实划线密码就相当于九宫格数字不允许重复

短信验证码也太费钱了……我们推荐微信扫码登录

手机一停机不就完蛋了

密码规则和大部分网站要求不一样,结果就是用户得想个新密码,如果你的服务不是那种高频率刚需,那么这个密码很快就会被用户忘掉,然后要么不用了,要么走繁琐的找回密码,但迟早还是会忘。比如大部分网站密码长度只要 8 位,那么我对于不重要的网站,就固定一个 8 位密码,反正被盗也无所谓,不重要。但如果突然一个网站要我 11 位密码,那我就得换密码,然后....就没然后了。对网站来说,密码不被盗是很重要的事情,但如果用户自己都记不住,设这个复杂的密码又有何意义。还不如搞 2FA ,让用户自己决定多一层安全保障。

密码根本不需要规则。

限制规则 = 可用密码总数量减少 = 统计数据上,爆破速度更快了

如果把指纹,人脸等方式算进来的话,锁屏密码是一个安全性非常高的手段了.用这样的一个密码+手机短信来维护所有网络信息我觉得也可以接受.

"什么邮箱,我家里没有啊,要去邮政局吗,年轻人的东西花里胡哨,我搞不懂"

为什么要破解你的锁屏?,拿到你手机直接拔出 sim 卡,插入自动化设备,自动的就把你所有网络账号信息全部破解了,能转账的转账,能买东西的买东西,能借款的借款。

看起来美国的手机贼可不这么认为 www.wsj.com/articles/apple-iphone-security-theft-passcode-data-privacya-basic-iphone-feature-helps-criminals-steal-your-digital-life-cbf14b1a

讨论的难道不是密码设计问题吗?你这都物理手段了,谁也防不住啊.或者虚拟 SIM 卡可以挡一波?

新闻之所以能成为新闻,就是因为其不具备普适性...再说手机安全的事交给厂商就完事儿了.

银行 App 登录密码设置的麻烦又记不住,而且不能自动添加到系统钥匙库中,所以需要重登录我就重置密码。

大多数网站或软件的要求,包括但不限于以下这些要求。反正对于普通人来说确实是噩梦,所以手机验证码登录的确一定程度上是一种有效且”懒人“的做法,至少可以不用被各个网站的密码要求”绑架“而去强迫输入一些自己根本不会去记的密码规则。不允许重复数字不允许连续数字密码过短不允许纯数字需要英文+数字密码首字母必须大写需要英文大小写+数字需要英文大小写+数字+符号不允许使用纯英文

只允许一个数字被重复一次,例如 1122 就不行,刚刚算错了,重新算了下

#1 #6 第一,包括手机短信在内的任何 2FA 手段,它们的安全性都不如密码,即使密码已经泄漏成了筛子。2FA 的设计目标就是如此,它是用来作为密码之后的第二道辅助措施(为了便利性,2FA 连多重密码都算不上),不是用来替代密码的。第二,手机短信是 2FA 措施当中,最不安全的那个,技术上和社工上,断行验证码都非常容易被突破,就是个渣滓。第三,你们要的是免密登录,而现行免密登录措施,不管是传统的加密狗、U 盾,还是现行国外流行的 Microsoft Authenticator 及各种 FIFO ,还有国内流行的刷脸,本质上都是物理密钥,而物理密钥的本质是超长位、不可轻易复制的密码。这还是密码,只不过只能用物理介质输入,不用也不允许你手动输入而已。(注意:Windows Hello ,手机指纹解锁这些,是本地 pin ,不是网络登录,不再讨论范围内。)最后请切记:便利和安全,不可兼得。

暴露规则不是替攻击做排除法吗

传统的密码或者密码管理器可以防住呀,有主密码加密,不依赖硬件,无法物理破解,sim 卡真的很不安全

不好,和密码必须要包含大小写字母、数字和特殊字符一样。完全脑瘫设计,就像住进一个小区,物业规定家里大门必须用三层的防弹合金大门,否则不让搬进来。结果等搬进去了,他妈是个小偷就能从窗口翻进来把家偷光。

还有更麻烦的,强制要求第一位大写,第二位小写,然后 6 位数字

你是说 TOTP 吧

大部分搞安全的人懂个屁的安全

id 很熟啊

Enigma 的破译很大程度上就依赖输入字符和输出字符必然不相同这个特点(漏洞)。这类不增加可选空间的负面规则基本上就是替破解者去掉错误选项。

自从用上了密码管理器 就不再用自己的密码了 20 位 大小写数字特殊字符 想记住也不可能

#25 我这边真的是重置密码银行会发一封信到你的邮箱,邮递员送过来你拿到密码才能用

所以说,实体 sim 卡并不安全,手机丢了慌的要死。(别跟我犟 sim 卡也有密码,你要犟那就是你对。)

第一眼,腾讯 QQ 的密码规则。。。。

作为用户,怎么有这么傻逼的设定