PTT評價

Re: [閒聊] 不為人知的工程師內幕

看板C_Chat標題Re: [閒聊] 不為人知的工程師內幕作者
DendiQ
(貔貅)
時間推噓 4 推:4 噓:0 →:12

※ 引述《er2324 (er2324)》之銘言:
: ※ 引述《KyrieIrving1 (King of Dallas)》之銘言:
: : 不為人知的工程師內幕
: : https://i.imgur.com/8IQl4hC.jpg

: : 0_o
: : 乾我真的看不懂
: : 有沒有工程師能解釋一下XD
: 其實現在密碼要求的越來越複雜了。
: 以前--
: 隨意輸入,最多可能就限你4個字以上。
: 現在--
: 12個字+必須有英文跟數字+必須有大小寫+必須有特殊符號。
: 結果就是一堆人都記不起來,
: 反而把帳號密碼寫進記事本裡面放在桌面上。
: 稍微駭進去就看光光了XD

15 年前發明煩死人的密碼規則,Bill Burr:抱歉浪費大家時間
https://www.inside.com.tw/article/10162

最近 Bill Burr 接受 華爾街日報 訪問,提到了他很後悔也很抱歉為大家帶來這麼多困擾。儘管這份白皮書是早在一般人還用不到網際網路的 1980 年代就完成,而且 Burr 當時對此研究不深,他還是後悔讓大家設下太難懂又難記的密碼,況且其中很多規則可能放錯了重點。

-----

因為這莫名其妙的準則,結果一堆網站,特別是公務機關網站弄出一堆麻煩且一點用也沒有的規定

看看微軟怎麼說的:

-----

密碼原則建議 https://bit.ly/43d7NQn

## 一些常見做法及其負面影響

以下是一些最常使用的密碼管理做法,但是研究結果警告我們注意這些做法的負面影響。

### 使用者密碼到期要求

密碼到期要求弊大於利,因為這些要求會讓使用者選擇可預測的密碼,即由彼此密切相關的連續字詞和數字組成的密碼。
在這些情況下,下一個密碼可根據先前的密碼來預測。
密碼到期要求不會提供任何控制優勢,因為網路罪犯總會在盜取憑證後立即使用憑證。

### 密碼長度下限需求

若要鼓勵使用者考慮使用唯一密碼,建議您維持符合 8 個字元的最小長度要求。

### 要求使用多個字元集

密碼複雜性要求會縮減金鑰空間,並讓使用者以可預測的方式行動,因此弊大於利
大多數系統都會強制實施一定程度的密碼複雜性要求。
例如,密碼需要使用下列所有三種類別的字元:

- 大寫字元
- 小寫字元
- 非英數字元

大多數使用者都會使用類似的模式,例如,第一個位置使用大寫字母、最後一位使用符號,倒數第 2 位使用數字。 網路罪犯知道這一點,因此他們在執行字典攻擊時會使用最常
見的替換,例如:$ 替換為 s、@ 替換為 a,1 替換為 l。
強制使用者選擇大寫、小寫、數字、特殊字元的組合會造成負面影響。
有些複雜性要求甚至會妨礙使用者使用安全易記的密碼,並迫使他們採用安全性較低且更難記住的密碼。

--

※ PTT 留言評論
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.34.203.27 (臺灣)
PTT 網址

Haruna199803/13 17:45密碼到期要更換最麻煩,然後要設定複雜的話我都直接

Haruna199803/13 17:45用guid產生一組

jiss55503/13 17:45原來這個講脫口秀的這麼厲害

hsiehfat03/13 18:30密碼定期更換而且還不能用以前用過的我最賭爛

hsiehfat03/13 18:30通常那種網站我就會直接放棄以後不上了

cha12297703/13 19:15如果要我選最靠北的人 我會選他沒有之一

cha12297703/13 19:17他逼很多人不得不把密碼寫下來甚至存在雲端記事本

cha12297703/13 19:18結果變成從別的管道洩漏的機會遠大於暴力法

cha12297703/13 19:19原意是不想被猜中 但設試錯次數或冷卻時間才是最佳解

所以我現在都用密碼管理器了

※ 編輯: DendiQ (114.34.203.27 臺灣), 03/13/2024 19:25:08

e5a1t2003/13 21:06密碼到期我都記三組密碼輪流用 結果還不是一樣

e5a1t2003/13 21:08而且駭客要是已經知道有設原串的機制 就全部試2次就好

peterturtle03/14 00:51「由乙方」要求使用多個字元集真的是最腦弱的設計,

peterturtle03/14 00:51高中學過排列組合都知道,所有有著額外限制的排列方

peterturtle03/14 00:51式都是完全不設限的子集合,限制越多可用密碼越少,

peterturtle03/14 00:51還不如乙方完全開放,讓甲方發揮他們的創造力去。

r3030703/14 08:41不就索尼官方,密碼規則有夠龜毛的