读书频道 > 安全 > Web应用安全威胁与防治——基于OWASP Top 10与ESAPI
10.8.1 密码长度和复杂性策略
2012-12-24 14:16:07     我来说两句 
收藏    我要投稿   
本书是一本讲解Web应用中最常见的安全风险以及解决方案的实用教材。它以当今公认的安全权威机构OWASP(Open Web Application Security Project)制定的OWASP Top 10为蓝本,介绍了十项最严重的Web应用程序...  立即去当当网订购

10.8  身份认证设计的基本准则

10.8.1  密码长度和复杂性策略

密码认证作为当前最流行的身份验证方式,在安全方面最值得考虑的因素就是密码的长度。一个强度高的密码使得人工猜测或者暴力破解密码的难度增加。下面定义了高强度密码的一些特性。

(1)密码长度

对于重要的应用,密码长度最少为6;对于关键的应用,密码长度最少为8;对于那些最关键的应用,应该考虑多因子认证系统。

(2)密码的复杂度

有的时候仅有长度约束是不够的,比如说12345678、11111111这样的密码,长度的确是8位,但极容易被猜测和字典攻击,所以这时候就需要增加密码复杂度。下面列举了一些提供复杂度的策略。

至少一个大写字母(A~Z)。

至少一个小写字母(a~z)。

至少一个数字(0~9)。

至少一个特殊字符(!@#$%^&等)。

定义最少密码长度(如8个字符)。

定义最长密码长度(如16个字符)。

不能出现连续的字符(如123、abc、def)。

不能出现连续相同的字符(如1111)。

一旦我们定义好了这些策略,在用户注册时就可以强制用户输入高强度的密码,从而提
高密码的安全性。

点击复制链接 与好友分享!回本站首页
分享到: 更多
您对本文章有什么意见或着疑问吗?请到论坛讨论您的关注和建议是我们前行的参考和动力  
上一篇:10.7.5 我没有智能手机怎么办
下一篇:10.8.2 实现一个安全的密码恢复策略
相关文章
图文推荐
2.9.3 静态可信根与
2.8 远程管理
2.7.6 微内核中的安
2.7.3 直通技术
排行
热门
文章
下载
读书

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训
版权所有: 红黑联盟--致力于做最好的IT技术学习网站