Passwords 当用户更改其密码时,是否有任何理由禁止他使用他过去可能使用过的任何密码?
我正在为我的网站实施忘记密码功能,在查看其他网站的最佳实践时,我发现gmail强制执行了这一点,而我查看的其他网站都没有强制执行这一约束 关于密码和密码安全,有很多相当过时的想法 如果一个用户的密码被泄露,那么不管他们在多少天后更改了密码,攻击者现在都会被系统阻止 如果该用户返回并重新使用其旧密码,则黑客可能会决定重试该帐户/密码并重新进入系统 当然,这带来了一系列全新的问题。这样用户就不会记住密码,他们就会开始把密码写在粘在显示器上的便笺上Passwords 当用户更改其密码时,是否有任何理由禁止他使用他过去可能使用过的任何密码?,passwords,Passwords,我正在为我的网站实施忘记密码功能,在查看其他网站的最佳实践时,我发现gmail强制执行了这一点,而我查看的其他网站都没有强制执行这一约束 关于密码和密码安全,有很多相当过时的想法 如果一个用户的密码被泄露,那么不管他们在多少天后更改了密码,攻击者现在都会被系统阻止 如果该用户返回并重新使用其旧密码,则黑客可能会决定重试该帐户/密码并重新进入系统 当然,这带来了一系列全新的问题。这样用户就不会记住密码,他们就会开始把密码写在粘在显示器上的便笺上 就个人而言?在我工作过的所有网站上,我从来没有想过增
就个人而言?在我工作过的所有网站上,我从来没有想过增加密码过期/或密码可重复使用的限制是很重要的。我认为它提供的安全性几乎没有增加。你相信用户不会丢失他们的密码,但我想这是双向的 如果他们必须选择一个新密码,那么他们可能必须记下它,或者更可能再次忘记它。但是,如果他们有一个新密码,那么知道他们使用的密码的人就不太可能使用它访问您的网站
无论采用哪种方式,请确保您存储的是散列密码以供比较,而不是纯文本。谢谢,是的,黑客可能决定重试帐户/密码这一事实似乎是唯一会被阻止的一点。OTOH,这可能会导致用户的可用性问题,这些用户的帐户尚未被泄露,但他们希望重新使用他们的旧密码。