问:我需要评估登录到某一特定网站的用户的密码强度。有什么工具可以满足我的需求吗?我想监测的网站内部目前还没有针对用户密码强度的测试参数。在我们的防火墙的外部也存在这样的问题。我想在网站完成这一进程之前尝试进行密码强度评估。
答:我做过一些研究,但还是无法找到一家公司能真正提供网站密码强度测试工具。网络渗透工具可以测试网站是否对已知的攻击存在漏洞,然而它们不能检查密码的强度。互联网上有一些免费的个人密码强度测试器,但身为信息安全专家的我对这些工具还是存有疑问:它们是合理的强度测试工具还是等待无辜用户输入密码的恶意网站呢?在大多数有关安全的实例中,最佳的强壮密码生成实践是制定好规则。通过让密码……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
问:我需要评估登录到某一特定网站的用户的密码强度。有什么工具可以满足我的需求吗?我想监测的网站内部目前还没有针对用户密码强度的测试参数。在我们的防火墙的外部也存在这样的问题。我想在网站完成这一进程之前尝试进行密码强度评估。
答:我做过一些研究,但还是无法找到一家公司能真正提供网站密码强度测试工具。网络渗透工具可以测试网站是否对已知的攻击存在漏洞,然而它们不能检查密码的强度。互联网上有一些免费的个人密码强度测试器,但身为信息安全专家的我对这些工具还是存有疑问:它们是合理的强度测试工具还是等待无辜用户输入密码的恶意网站呢?在大多数有关安全的实例中,最佳的强壮密码生成实践是制定好规则。通过让密码满足最低要求,并向广大用户群推广规则条目,这样将会使密码强度得到提升。
我发现以下的要求很有用。密码应当:
- 不要基于英文单词,
- 至少包含3个小写字母,
- 至少包含3个大写字母,
- 至少包含2个十进制数字,
- 长度至少有8个字符,
- 应当非常随机,也就是说要避开大家都知道的组合,例如生日,而且也不要用连续的字符序列。
当然,有人说没有一种密码是坚不可摧的,这种观点也有一些道理。密码认证服务是种脆弱的解决方式,它没有很好的登录/推出程序、密码重试规则、密码过期以及对敏感信息风险的理解。而且无论密码如何复杂,它将永远无法超越多因素认证的安全水平,多因素认证通常会在密码之外添加第二种认证形式,例如智能卡(你所拥有的)或指纹阅读器(识别你是谁)。
相关推荐
-
防数据泄密:是否应实施“多重认证”?
不管你如何认识多重认证,随着更多的行业规范都要求多重认证,多数企业都要尽早实施这种安全机制。虽然多重认证的实施存在一些困难,但它是一种可以减少风险而不仅仅是满足审计人员的重要举措之一。
-
如何制止OpenSSH漏洞?
OpenSSH漏洞可以让黑客轻易绕过身份认证限制并发动强力的攻击破解密码。如何缓解这种威胁?是否应该考虑使用像OpenSSH这样的开源加密软件?
-
“刷脸”时代的企业身份认证
再没有什么事情比“刷脸支付“更酷的了,毕竟这曾是科幻大片里才有的情节……身份认证技术是在计算机网络中确认操作者身份的过程而产生的解决方法,作为防护网络资产的第一道关口,身份认证有着举足轻重的作用。
-
身份认证技术指南
一次RSA遭攻击事件,让安全认证成为热点。如何才能实现有效的身份认证和访问管理?本技术手册,将从三个方面为你详细介绍有关认证的知识,帮助你选择合适的认证方案。