Authentication 用户名和密码-合理的限制？

如果您要编写一个应用程序，其中某些特权用户可以选择创建新用户，那么有关

用户名

和

密码

的合理约束是什么？例如，“用户名必须至少为8个字符”或“密码必须至少包含一个数字…”。关于此主题有什么好的解读吗？

密码应至少为8个字符，并包含字母、数字、>1个特殊字符和组合大小写

编辑：为什么是8个字符或更多？请检查这些。将其设置为8个字符或更多，暴力攻击的时间成本会大大增加。然后添加salt加密，您就有更好的机会受到保护

---

大量关于密码的详细信息。

IMO，密码限制只会让用户选择他们记不住的密码，然后写下来或发电子邮件给自己，从而造成更大的不安全感。只需在他们键入密码时告知他们密码的复杂性，并允许他们选择自己的密码。进一步评论-我经常有非常复杂的p未通过某些机构定制的“安全密码”要求的密码（由受信任的安全工具进行评级）“执行。当一个破坏者也能读懂要求并根据要求调整攻击时，要求添加某种类型的角色是愚蠢的。这是为什么？在这个问题上，可能需要一个更严格的解释。这不是我的反对票，但我想这是因为你最初的断言缺乏证据。老实说，你用链接进行的扩展也没有提供任何引人注目的东西。关于暴力强迫更长的键和更大的键空间的难度呈指数级增长的讨论似乎是一个有用答案的最低要求！