Security 为什么有些网站/应用程序要求密码必须以字母开头?

Security 为什么有些网站/应用程序要求密码必须以字母开头?,security,passwords,requirements,Security,Passwords,Requirements,一些网站/应用程序要求密码必须以字母开头,我觉得这很愚蠢。真烦人。。。密码熵(安全性)大大降低。 所以我的问题是。。。有没有一些开发者会选择这个的原因 我能想到的唯一原因是: 他们是绵羊(在其他地方看到这一点,只是复制了趋势) 有些人只是实现了它,因为这是他们知道的小正则表达式 只是为了给他们的客户制造一种虚假的安全感 (询问是因为我正在开发一个管理用户密码的应用程序,并想提醒用户,如果网站要求这样做,他们不应该信任他们的安全)关于安全性,没有理由要求这样的密码,你自己已经给出了答案。不过,

一些网站/应用程序要求密码必须以字母开头,我觉得这很愚蠢。真烦人。。。密码熵(安全性)大大降低。 所以我的问题是。。。有没有一些开发者会选择这个的原因

我能想到的唯一原因是:

  • 他们是绵羊(在其他地方看到这一点,只是复制了趋势)
  • 有些人只是实现了它,因为这是他们知道的小正则表达式
  • 只是为了给他们的客户制造一种虚假的安全感

(询问是因为我正在开发一个管理用户密码的应用程序,并想提醒用户,如果网站要求这样做,他们不应该信任他们的安全)

关于安全性,没有理由要求这样的密码,你自己已经给出了答案。不过,我认为没有必要发出警告,因为实施不一定是不安全的


在我看来,对密码唯一合理的限制是最小长度。其他要求可能会干扰良好的密码方案,并且实际上可能会降低密码的强度,因为用户将切换到较弱的密码,如“Password2014”。

实现不安全,因为它降低了密码熵。我非常同意,当用户的选择受到限制时,他们会切换到较弱的密码,因为他们首先关心的是密码是否容易记住。因此,增加了一个额外的要求,削弱了密码,从我所看到的情况来看,它没有任何用处,并促使用户选择一个较弱的密码,因为它限制了用户的选择。考虑到开发人员在设计密码要求时做出了如此糟糕的选择,这无疑是一条关于整个应用程序/网站如何设计的有力线索。@hi XBOty-这也是我的观点,而且提到的限制实际上是没有用的。另一方面,在很多地方都有很多被推荐的限制,很容易让人觉得它们很重要。即使是做过一些研究的开发人员,也可能认为他必须实施这样的限制,或者可能是老板要求的。@hi XBOty虽然我也非常同意,当用户的选择受到一定限制时,他们会切换到较弱的密码,但我也必须注意,当他们的选择受到限制时,他们会切换到较弱的密码,出于你提到的原因,这个特殊的要求也让我很恼火,特别是因为它缩小了可能匹配的范围,同时又不鼓励用户想出比平均水平更不可预测的东西。在我看来,“最小大小为8,字母和数字都是”的约束在提供用户激励和不太缩小匹配集之间提供了一个很好的平衡。不过,我还是更喜欢“弱-中-强”反馈方法。