paip.提公升使用者體驗與安全性---註冊流程總結
限制使用者輸入國內top100的口令
... 1
限制使用者輸入國外top500的口令黑名單
... 1
限制輸入常用字典黑名單口令
... 1
口令長度7---20位
... 1
口令為純小寫字母,長度應為12位及以上
... 2
口令為純數字式,長度應為17位及以上
... 2
增加口令強度檢測ui器(弱,中,強三檔)2
增加ux之nakedpassword. 2
提示使用者但不強行禁止使用者使用簡單口令
... 2
salt方式,自定演算法儲存口令,3
初次註冊時不要使用驗證碼
... 3
探測防守,防止註冊機械人
... 3
系統全域性防守
... 4
參考... 4
這個黑名單**於就像
twitter限制使用者的口令
可以把常用口令字典的名單做為乙個黑名單,限制使用者輸入此類口令
一般而言在乙個desktop pc上,破解需要200天的口令是比較安全的,因為破解可以用多台pc並行,時間可大大縮短,所以經得起200天破解的口令才算安全
這裡的密碼演算法是最常用字的md5。。。
檢測口令強度**
全部小寫字母12位, 276days
全部大寫字母12位,276days
全部數字17 , 289days
小寫字母+數字11位,一年
大寫字母+數字11位,一年
大小寫字母混合10位,一年
大小寫字母+字母混合10位,6年
小寫字母+大寫字母+特殊符號+數字9位,275days
小寫字母+大寫字母+特殊符號+數字8位,3days
參考破解你的口令. coolshell.cn
paip.提公升安全性----我們需要多長的密碼
總結:當然,如果使用安全的加密演算法,不使用簡單的sha,md5一類的演算法,則密碼強度就大大增加了,但口令長度仍然應該在7位及以上。
為了提公升使用者體驗…除非你的站點涉及到金錢一類的安全性很有必要的情況,此種情況下,可以強制使用者輸入安全性強的口令…否則,只是提示使用者口令很差勁,但是不要強制使用者使用高強度口令。。
可以使用組合方式,這樣可以防止對方拿到加密後的口令利用raintable進行破解..
salt=nowtime
s=username+password+salt+key;
pwdx=hash(s);
hash(stirng s) }
參考:paip.提公升安全性-------
使用者口令密碼的檢測與生成
當懷疑是序號產生器程式時,才開始使用驗證碼。為了提公升使用者體驗,方便盲人,不要僅使用驗證碼,可以使用手機驗證碼,或者郵箱驗證碼..
防止機器程式進行註冊..限制註冊的次數。。
比如同一ip在一小時最多可註冊兩次..此註冊間隔5分鐘以上,當日最多註冊5個等措施..盡可能不用驗證碼,以提公升使用者體驗…..如果超出些限制,才開始使用驗證碼…
當然,這個需要我們平時沒有受到攻擊時的資料做為支援。比如你的系統,平均每天有
5000
次的註冊的事件,那麼你可以認為,大幅超過這個數後,而且時間相對集中,就說明有黑客攻擊。
這個時候你怎麼辦?一般最常見使用的方法是讓所有的使用者再次嘗試的時間成本增加。
你會做
web上的使用者登入功能嗎?
coolshell
paip 提公升使用者體驗與提公升安全性 記住密碼
paip.提公升使用者體驗與提公升安全性 記住密碼 前幾天使用金山快盤.是使用記住密碼功能的 結果電腦硬碟因其它原因,被其它人取走。這成了乙個很大的安全隱患。需要我在網上及時修改密碼才可以確保別人不可以操作我的文件。但是修改密碼增加了記憶負擔.需要可以不修改密碼的情況下,就可以達 到此目的,以提公升...
paip 提公升使用者體驗 驗證碼識別與盲人
paip.提公升使用者體驗 驗證碼識別與盲人 曾經以為,驗證碼識別是不道德的,擾亂了網路秩序。但是另一面,驗證碼識別大大的幫助了盲人使用者,使得驗證碼不再成為他們上網的攔路虎.這就是我們的使命所在 我們追求驗證碼識別是為了幫助他人,讓網路不再有障礙.中國目前太多的 不考慮盲人而濫用驗證碼.中國有12...
系統設計 關於使用者體驗與安全性之間的折衷
有時候想安全,就得犧牲掉一些使用者體驗,而一些更好的使用者體驗會犧牲掉一定的安全性,所以安全性與使用者體驗有時候是一對矛盾體,得想辦法做tradeoff。比如說驗證碼,captcha,現在很多 在登陸或者提供的其它服務會讓使用者輸入驗證碼來驗證操作是由人發出的,而不是robot發出的,前提是robo...