我们有一个登录表单,我们的最小密码长度是 8 个字符。因此,当用户键入小于 8 的任何内容时,我们会通过 javascript 验证长度并让用户知道最小密码长度为 8 个字符。
但是我相信这是一些敏感信息,据我所知,通过公开我的最小长度密码限制,我可能会为黑客节省几周的时间。
请让我知道这是可取的,还是最好不要放弃最小长度。
问问题
121 次
2 回答
2
在不告知用户您的最小密码长度的情况下,您仍然可以让他们知道密码太短“您的密码太短,请尝试更长的密码”。但是,如果您不告诉他们密码至少需要多长时间,您会让用户感到沮丧。无论如何,只要通过愚蠢的跟踪和错误,黑客仍然能够计算出您的最小密码长度。
沮丧的用户是坏人,所以请告诉他们为什么他们的密码不好来安抚他们。
如果您担心安全性,我会研究您可以控制的其他事情,这些事情不会给您的用户密码带来太多不便。(HTTPS,需要密码更改确认,需要最少数量的特殊字符,不胜枚举)。
于 2012-02-29T06:29:57.210 回答
1
建议用户了解。这是从用户的角度来看的。如果你不说出来,他可能对你的验证有问题,他甚至不知道为什么..
于 2012-02-29T06:14:51.333 回答