Должно ли поле пароля быть уникальным?

Question

В свете последних Gawker Media password leak я понял, что многие пользователи используют одни и те же пароли. Чтобы стимулировать более сильные пароли, было бы полезно, если бы пароли были уникальными среди всех пользователей?

Непосредственный недостаток, который я мог придумать (помимо создания учетной записи?), Может знать, что кто-то использует данную строку в качестве пароля. Это знание, в сочетании со списком пользователей, может быть довольно опасным.

Есть ли способ смягчить этот недостаток, сохранив при этом предполагаемые преимущества не допускать повторных паролей?

Это как XKCD kick bot, где вам не разрешено повторять короткие, неоригинальные предложения типа «yah» или «lol».

Редактировать^2: Я думал, что вы можете использовать уникальный хэш, но, как заметил кто-то с разными солями, это не имело предполагаемого эффекта. Хороший глаз!

Answer 1

совершенно нет.

Крайне важно, чтобы информация о паролях не предоставлялась пользователям вне системы. Если они могут легко догадаться, какие пароли используются, обнаружив, что пароль недоступен, они могут использовать эти пароли на известных именах пользователей и получить хороший шанс получить доступ.

Альтернативой является поиск какой-либо общих паролей базы данных и запрет любому пользователю использовать их.

Answer 2

Я хотел бы предложить follwing как вы уже упоминали недостаток использования «уникальных @ паролей для всех

1. просвещать пользователя о сильном пароль.
2. Ask пользователя изменить пароль на регулярной основе.
3. Держите прибор «пароль прочности» в то время как они ввести пароль.

Answer 3

eeeuh

Возможно, я неправильно понял ваш вопрос, но надеюсь, что вы не храните фактический пароль?

Вы должны ввести пароль с помощью случайной соли. Таким образом, нет способа узнать, есть ли у одного или нескольких пользователей один и тот же пароль.

Если ваши системы каким-либо образом позволяют определить, имеют ли два или более пользователя один и тот же пароль, вы храните пароли неправильно.

Answer 4

Действительно не

До тех пор, пока у вас есть соли, пароль не будет храниться так же, как в любом случае.

Если вы хотите обеспечить безопасность пароля:

1. выбрать хороший хэш (sha256, Blowfish и т.д.)
2. Использование соли
3. оснастка в метре пароля с минимальным порогом
4. Многие из них может быть в комплекте с Словарными

Заканчивать пост я сделал об этом на Reddit: http://www.reddit.com/r/netsec/comments/ektb8/in_the_light_of_recent_gawker_breakout_lets_talk/

Answer 5

Если управление паролями выполнено правильно, единственным человеком, который должен знать свой пароль, является пользователь, который его создал. На моих веб-сайтах я никогда не хранил пароль в любой форме. Я храню криптографический хеш (SHA-1 или какой-либо вариант) этого пароля, который управляется каким-то уникальным дополнением «соль». По сути, если у двух людей были уникальные пароли, не было бы возможности сказать.

Большинство паролей на той ссылке, которую вы дали, - это все легко угаданные словарные пароли. Очень слабая и простая грубая сила. Все они будут запрещены любой системой с рудиментарной проверкой пароля.