私のサインアップ/ログイン/ログアウトなど...私のサイトの機能を入力するだけで、私は興味がありました。特定の強さまたは文字セットを満たすパスワードをユーザーに強制する必要がありますか?ユーザーのパスワードを特定の文字セットまたは強度に限定する必要がありますか?
例1、唯一の彼らは、英数字と一部の特殊文字を使用することができ、> 8
例2の長さの英数字のパスワードを使用するように強制的に(すなわち:!@#$%)。
最初の例は明らかにバンキングなどの機密性の高いサイトで実施するのが良いことですが、ユーザーのパスワード文字を制限する正当な理由は考えられません。文字列がSQLインジェクションのためにきれいにされている限り、文字の賢明な権利を使用するのは問題ではありませんか?
EDIT
そしてもちろんのパスワードが
一部の銀行サイトでは、パスワードには番号のみが制限されているため、電話取引のためにダイヤルパッドでパスワードを入力することがあります。しかし、個人的には、私はサイトパスワードジェネレータを使用しているので、文字セットを制限するのは好きではありません。 –
少なくとも、パスワードを送信したユーザーがトップ100のパスワードに対してチェックアウトしているかどうかを確認します。私は特殊文字を強制することをお勧めしますが、それはあなたが確立しているサイトの種類とあなたが必要とするエントリの障壁に依存します。セキュリティは容易ではありませんが、時には必要です。 –
私は安全なハッシュを重視しているのは、あなただけのためではなく、これをまたぐ他のすべての人にとってです。依然として依頼されたときにユーザに実際のパスワードをメールするあまりにも多くの(読んだ: '1>)ウェブサイトがあります。 – SLaks