我在一个 Intranet 站点上工作,需要从以下两种方式中选择一种: 1. 当用户可以将密码更改为他喜欢的任何单词时禁用一个选项,例如 pass123。这样会有一个按钮使用一些复杂的算法生成一个新密码,然后用户接受它的使用。2、制定标准的密码修改功能。这样用户可以输入他喜欢的任何密码并保存。谢谢。
问问题
93 次
4 回答
6
如果它是一个 Intranet 站点,那么通常应该通过 LDAP 处理身份验证,而不是显式输入密码。
于 2010-09-09T11:27:50.077 回答
1
我会说如果你只给用户一个生成新密码的按钮很好,那么他不能在每个站点上使用相同的密码。
于 2010-09-09T11:27:43.637 回答
1
如果您有密码强度策略,请在用户选择新密码时在表格上明确说明,如果密码不够强则不要接受(选项 1.)。
于 2010-09-09T11:29:13.407 回答
0
这仅取决于您希望网站的安全性。
如果您允许他们更改自己的密码,那么我建议您使用某种“密码强度”视觉辅助工具来帮助他们选择强密码。那么可能只有强密码除外。
只允许他们将密码更改为由复杂算法生成的另一个密码可能会导致他们不记得它,但是这样你总是可以依靠强密码。通过电子邮件向他们发送密码意味着他们不必在某处写下来,即使写下来,它也会被安全地隐藏在他们的电子邮件登录后面。
于 2010-09-09T11:32:54.833 回答