如何解决应用程序报告当前密码到期还剩下多少天是否不安全?
| 应用程序报告当前密码到期还剩下多少天是否不安全? 例如,如果密码每30天过期一次,或者应用程序告诉您密码将在5天后过期(当然是在您登录后)。 还是该应用程序可能存储了一个cookie,该cookie告诉应用程序在密码到期前三天开始建议更改密码? 这两种方法都将被视为不良做法吗?解决方法
请参阅Bruce Schneier的有关更改密码的博客文章。
密码过期的主要原因是使受破坏的密码过期;告诉用户(或攻击者)它将过期不会改变这一点。它的作用是告诉攻击者在截止日期之前做出其他让步。这是否有风险取决于是否存在此类攻击者(我希望要做的第一件事就是安装rootkit)。
安全性好处在于,给了用户一定时间(例如一周)来考虑新密码。只要我不急于完成工作,我就可以在一两分钟内输入一个像样的密码。否则我只会在最后增加一个计数器。每个人都这样做。
我的感觉是,有效地说出“在下周的某个时候,想一个新的密码”的好处远胜于潜在的风险,但是30天太短了。我实际上只需要记住几个密码(电话,笔记本电脑+ root,家庭服务器+ root,工作计算机+服务器,密码安全);改变其中任何一个都是乏味的。
有多种方法可以确保用户不选择与旧密码相关的密码;他们都不是特别好。
, 我认为,如果您需要告诉用户密码在这么多天内到期,则应该创建一个页面,该页面在登录完成后出现。
例如,如果您有一个页面作为您的登录表单,则此后转到另一个脚本,该脚本在成功登录后会重定向到主页。
除了立即重定向之外,您还可以在页面上使用“ 0”使用户有五秒钟的时间来阅读页面,并显示用户在密码过期之前还有多少天。
但是请确保仅在登录后才显示该消息,否则,黑客可以阅读登录页面的内容以了解何时需要更改其密码。
Ad @ m
, 我认为告诉用户密码何时过期并不安全-至少我看不到它如何切实地帮助攻击者。无论如何,这都是惯例-正如亚当(Adam)所言,Windows本身就是这样做的。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。