我一直在使用zxcvbn为一项服务强制使用强密码,在这种情况下,入侵会导致相当大的问题。但是,该服务只有在许多用户注册的情况下才可行。我们发现,当 zxcvbn 拒绝一个又一个密码(基于网站指标和现场事件)时,用户倾向于沮丧地离开。我们从 zxcvbn 的强度开始为 4,然后将其降低到 2,但问题仍然存在。
令人痛苦的是,您的普通 Jane 习惯于创建错误的密码,并且对接受再培训没有兴趣。我们没有预算来承担这种社会变革的责任,而当权者正在努力推动回到“8 个字符,至少一个数字等”之类的东西上。从业务角度来看这是可以理解的——我们花更多的时间指导用户完成密码创建过程,而不是谈论我们的服务。
那么,执行密码策略的下一个最佳方法是什么,它不会让我们拥有大量容易被黑客入侵的用户帐户,同时又不会疏远非技术用户群?
编辑:通过 Web 界面以及 IMAP 等其他方式进行登录,这使得除了仅密码登录之外的任何操作都不可行。
您是否可以选择向您的站点添加 2-Factor 身份验证?这是我在谷歌上搜索“在您的网站上使用谷歌验证器”时出现的第一篇文章。
如果这是一个公司网络,而您的用户是您的员工,那么您可以选择使用物理令牌,例如插入其桌面的智能卡或网格卡。
从社会工程/设计的角度来看,你能找到一种使用胡萝卜方法而不是鞭子方法的方法吗?我的意思是为拥有强密码的用户提供特权(以其他用户看不到的方式,否则相当于公开羞辱弱密码,这实际上更糟)。也许是会员费或购买的小额折扣,或者是服务中的额外福利,如小型虚荣功能、更多存储空间、优先排队、wtv。我知道 MMO 已经很好地利用了这一点来帮助鼓励采用 2-Factor 密钥和强密码。
我认为这是一项基于 Web 的服务。(我对zxcvbn不熟悉)。
一种选择是完全取消用户可见的密码。如果您可以让用户使用他们的电子邮件地址进行注册,您可以通过电子邮件向他们发送带有唯一 ID 的链接。当他们点击该链接时,他们的浏览器中会设置一个强大的 cookie。
“密码重置”包括通过电子邮件向他们发送新链接。