你如何强制执行强密码？

有许多技术可以在网站上强制使用强密码:

要求密码通过不同复杂程度的正则表达式

自动设置密码,以便临时用户拥有强密码

让密码过期

等等

另一方面存在缺点,因为所有这些都使得用户的生活变得不那么容易,这意味着更少的注册.

那么,你使用什么技术？哪个提供最佳保护与不便比率？

为了清理,我不是指银行网站或存储信用卡的网站.想要注意仍然需要注册的流行(或不那么流行)的网站.

我不认为强制执行强密码是可能的,但是你可以做很多事情来尽可能地鼓励它们.

为每个密码评分,并以分数或图形栏等形式向用户提供反馈.

设置最低密码分数以清除可怕的密码分数

列出要么禁止的常用词汇,要么输入密码分数

我喜欢使用的一个很好的技巧是让密码的失效日期与密码分数相关联.因此,不需要经常更改密码.如果您可以向用户提供有关他们所选密码的生存时间的直接反馈(并动态更新它以便他们可以看到添加字符如何影响日期),这种方法效果特别好.

不执行任何操作......如果您不保护财务信息或同等重要的内容,则不要让用户选择强密码.

我在一大堆需要注册论坛等的网站上都有相同的弱密码.我真的不在乎是否有人猜到它并且可以像我一样发布消息(并且不认为有人做很多动机所以).我不能做的是记住十几个网站的不同强密码,并且真的不想使用另一个软件来管理它们.

最好的折衷方案是向用户显示关于密码强度的某种反馈(基于它是字典单词,不同字符类型的数量,长度等).