问题标签 [password-policy]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
9 回答
6106 浏览

passwords - 密码中允许使用哪些字符的最佳规则是什么?

完全没有考虑它,我只想说我应该允许每个角色。无论如何它都会被散列,我不想限制想要创建强密码的人。

但是,仔细想想,有很多角色我不知道它们会对事物产生什么影响。外来字符、ascii 符号等来命名一对。

我试着用谷歌搜索,但我找不到任何关于人们做什么的明确标准。即使是大多数专业组织似乎也不知道。对于许多网站来说,完全禁止特殊字符似乎是一种常见的做法,这很愚蠢,而不是我想要做的。

无论如何,对于长度、允许的字符等是否有任何标准建议?

我不确定这是否重要,但我将使用带有 C# 的 ASP.NET

0 投票
5 回答
164 浏览

security - 将密码返回给 Web 用户

我收到了构建一个向经过身份验证的用户显示新密码的页面的不幸要求。我没有成功地抗议这个要求,因为这是一个普遍的坏主意,但我认为陪审团仍然存在,所以也许有人反对显示我还没有尝试过的新密码。你有什么建议吗?

其次,将密码以图像而不是文本的形式显示给用户会更好吗?我担心文本被“刮掉”,我认为使用图像会更困难。如何确保图像不会被用户浏览器缓存?

提前致谢,

0 投票
2 回答
2204 浏览

java - 带有 LDAP 密码策略的 JAAS

用户正在使用 JAAS(在 Glassfish 2.1 上)访问受限制的 Web 应用程序。使用了 LDAPRealm,并且从 LDAP 成功执行了身份验证。应该为用户安装密码策略,以便他们被迫更改密码,具有一定复杂性/长度的密码,密码失败和最后 N 个密码应该被检查。使用的 LDAP 服务器(OpenDS)的密码策略支持这一切,但是在我们使用的 JAAS FORM 登录中如何接收这种信息完全不明显,因此信息(即“请更改您的密码”)可以显示给用户。

你有什么想法如何去实现这个?仅使用数据库不是一种选择,用户需要在 LDAP 中。不明显的是是完全使用 LDAP 密码策略,还是将其全部编程在我们的 Web 应用程序中。我想避免这种情况并使用 LDAP 的本机密码策略。

谢谢你的回答和最好的问候,博佐

0 投票
2 回答
1882 浏览

asp.net-membership - asp.net 会员附加密码策略规则

我正在使用 asp.nbet 会员资格,它非常方便地让您选择强制执行最小密码长度和最小数字字符。你能定义其他的,比如必须有一个大写字符等吗?

干杯

0 投票
2 回答
2311 浏览

c# - 如何在 C# 中设置组策略的密码策略

我正在尝试从 Windows Server 2008 Active Directory 中检索组策略并更改 C# 应用程序中的最短密码使用期限、最长密码使用期限和最短密码长度。

有没有办法做到这一点?到目前为止,我只知道如何使用 Interop.GPMGMTLib (gpmgmt.dll) 创建新的组策略对象,但我还没有弄清楚如何更改策略的密码规则,我不确定是否有更简单的方法。

0 投票
1 回答
853 浏览

c# - 将时间跨度转换为 IADSLargeInteger 以进行 Active Directory 设置

我想设置 DirectoryEntry 对象的 MaxPasswordAge 属性。我相信它是 IADSLargeInteger 类型。现在我想以编程方式将其设置为某个值。如何将时间跨度转换为 IADSLargeInteger。例如。如果我想将其设置为 10 天,我该怎么做。直接设置是不行的。

我如何将该值设置为 n 天?任何帮助表示赞赏。

0 投票
0 回答
258 浏览

passwords - 分配给用户帐户的服务和计划任务

在 Windows Server 2008 R2 中

让我们假设用户帐户:User1

用户密码:1234

我已经根据 User1 的凭据分配了一个自动服务来运行以启动服务。我还创建了一个每天运行的计划任务,称为 ST1,它被分配在相同的用户“User1”登录凭据下运行。

如果用户的密码设置为不过期且密码未更改,则一切正常。

但是,我需要每隔 90 天根据组策略为用户更改密码。

此密码更改不会更新用户密码更改的服务或计划任务,因此这些服务和计划任务不再起作用,最终用户必须手动转到分配了此类登录凭据的每个位置并更改密码。

由于密码更改是通过 Windows 用户帐户启动的,是否有某种方法可以自动执行此密码更改以更新正在使用用户登录的所有位置?

有没有办法获取分配给特定用户的所有服务和计划任务的列表?至少这会提醒我需要手动更新哪些位置。

0 投票
3 回答
10820 浏览

c# - ASP.NET 配置文件中的密码策略(成员)

在更改密码页面中,我们有此代码,所以如果我们想将密码策略更改为“StrongPolicy”,我们有办法还是默认?

我们也可以将其更改为弱策略吗?

我读了 MSDN,但找不到。

0 投票
1 回答
9176 浏览

passwords - Java 中带有 HMAC 的 PBKDF2

我正在开发一个 Java 项目,我必须确保保存在纯文本文件中的用户密码的机密性和完整性。

为此,我将只在文件中写入密码的哈希值。更具体地说,我的意图是编写密码的哈希值和随机盐,加上随机盐本身,以避免使用彩虹表和查找表。我还想对 PBKDF2 使用键拉伸,以使哈希的计算在计算上变得昂贵。最后,我想使用密钥哈希算法 HMAC 作为最后一层保护。

我正在尝试在 Java 代码中实现我的想法,并且我找到了一些上面介绍的操作示例:

我真正无法理解的是如何输入我的密钥作为 HMAC 算法使用的密钥,因为它似乎不是函数的输入。我浏览了 Java 文档,但找不到我的问题的解决方案。

在这一点上,我不确定我是否正确理解了加密机制的不同部分是如何工作的,所以我会接受有关该主题的任何帮助。

0 投票
1 回答
218 浏览

android - 关于 Android 设备密码策略的几个问题

该应用程序是设备管理员,它可以设置密码策略和密码过期时间。

  1. 如何通知用户密码过期?它取决于应用程序吗?或者这将是标准的android行为?
  2. 我可以通过更改设备时间来欺骗应用程序(强制到期)吗?