问题标签 [password-policy]

问问题

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

72 问题
Newest
Active
Bountied
318
Unanswered
0 投票
2 回答
5744 浏览

c# - 在 C# 中针对 Active Directory 验证密码复杂性

我正在编写一个安装 SQL 的安装程序,预先提示用户输入将为他们创建的 SA 用户名/密码。安装 SQL 时,它会根据 Active Directory 策略验证此密码,如果不匹配,则会失败。

我要做的是在继续安装 SQL 之前验证用户输入的密码是否有效。

如何根据 Active Directory 规则验证密码是否正确?

请注意,我没有根据此答案进行验证的登录名,而只是用于验证的密码。

我目前正在尝试这个,但是写我知道不允许的“密码”不会引发异常

0 投票
2 回答
5803 浏览

sql-server - 使用 MS SQL 的表中用户名和密码字段的约束

我希望对表“管理员”中的密码字段进行约束。我想要的约束是密码不应少于 6 个字符,并且应包含混合字符(数字 + 数字)。

此约束的 KEYWORD 是什么,语法是什么。我已经 Googledit 有一段时间了,我在办公室,我必须尽快完成这项任务。我正在使用 MS SQL

这是我写的,

0 投票
1 回答
5391 浏览

ubuntu-12.04 - 如何在 Openldap 2.4.28 Ubuntu 12.04 中配置 ppolicy 覆盖?

我正在使用带有 slapd 2.4.28 的 OpenLDAP,它在 /etc/ldap/ 文件夹中没有 slapd.conf 文件。我浏览的大部分教程和视频都是关于 slapd.conf 的配置。

有人在 ubuntu 12.04 服务器中尝试过 slapd 2.4.28 吗?

执行了以下步骤,但对我不起作用:

我所能做的就是将 pwdpolicy 对象分配给用户组和组织单位,但没有一个生效,只是默认密码策略生效。

0 投票
1 回答
1880 浏览

asp.net - Asp.net identity 2.0 密码策略更改没有 MVC

我在没有 MVC 但使用 Identity 2.0 的 asp.net 4.5 中重新创建一个项目。网上没有关于在不使用 MVC 的情况下更改身份密码策略的示例……遗憾的是。有谁知道该怎么做?

0 投票
1 回答
1864 浏览

regex - ApacheDS:未强制执行密码策略检查

我正在努力启用 ApacheDS(版本 2.0.0-M16)来强制使用强密码 - 字母数字和特殊字符的组合。我创建了自己的测试实例。

首先,我将密码质量检查切换为 STRICT (2),并将最小长度值更改为 7:

然后,我尝试使用明显无效的密码通过 Apache Directory Studio 导入 ldif 条目,但验证未启动。用户已成功创建:

我究竟做错了什么?

另外,有什么方法可以以正则表达式的形式配置密码的复杂性?我在 conf 文件中没有看到这个。

0 投票
1 回答
793 浏览

jakarta-ee - 向 Alfresco 添加密码策略

嗨,我是 Alfresco 的新手,我想知道是否有办法向用户添加策略密码:

  • 密码必须包含 > 8 个字符
  • 密码必须包含 Lower 和 Upper Cast
  • 密码必须包含特殊字符
0 投票
2 回答
11430 浏览

encryption - bcrypt,河豚的密码最大长度

我的问题来自 如何用河豚散列长密码(> 72个字符)

我正在使用 bcrypt(blowfish) 对密码进行哈希处理。所以,正如我从这个问题中发现的那样 https://security.stackexchange.com/questions/39849/does-bcrypt-have-a-maximum-password-length

它的字符数限制为 72。

所以,我开始考虑限制密码的最大长度,但是在这些问题和他们的答案之后

https://security.stackexchange.com/questions/33470/what-technical-reasons-are-there-to-have-low-maximum-password-lengths

为什么要限制密码的长度?

我应该对密码施加最大长度吗?

所有人都反对这一点。提到事情,比如

  • 节省存储空间
  • 旧的 Unix 系统经验
  • 与不支持长密码的遗留系统交互
  • 约定(即“我们一直这样做”)
  • 简单的天真或无知。
  • 明文存储
  • 另外,a maximum length specified on a password field should be read as a SECURITY WARNING通过这个答案 - https://stackoverflow.com/a/99724/932473
  • ETC

所以,我认为我不符合其中一种情况。当然,我同意愚蠢的限制,比如最大长度为 10,甚至更糟糕的是 8 或 6,但 30、40 或更多长度的密码(盐渍)不被认为是安全的吗?从这篇文章(虽然有点旧),但它说

http://arstechnica.com/security/2012/12/25-gpu-cluster-cracks-every-standard-windows-password-in-6-hours/

这适用于 8 个字符的密码。所以,我想象自定义彩虹表将有多么巨大,可以暴力破解一个 30 或更多字符的密码(考虑到每个密码都有自己的盐),因为彩虹表的大小呈指数增长

引用同一篇文章的评论

每次在密码中添加一个字符时,通过暴力破解的难度都会成倍增加。例如,8 个字符的密码具有 95^8 个组合的键空间,而 20 个字符的密码具有 95^20 个组合的键空间。

因此,对于一个带有 bcrypt 的 20 长度密码,需要 95^20 / (71 000 * 3600 * 24 * 365) ~ 10 的 28 度年(如果我做得对的话)

qsn1:现在,在这种情况下,对于河豚来说,有一个含义是不将密码最大长度限制为 72,因为在任何情况下,所有内容都将被截断,因此这里没有额外的安全增益。

qsn2:即使存在盐(对于每个用户来说都是唯一的并且保存在数据库中),毕竟我想在密码中添加胡椒(在应用程序中硬编码而不是保存在数据库中)。我知道是否会增加一点额外的安全性,但我认为以防万一 db(或 db 备份)只是泄漏,胡椒会很有用。 https://security.stackexchange.com/a/3289/38200 因此,为了能够添加 20 个字符的胡椒,我需要将密码的最大长度设置为 50 左右。我认为是这样的:假设用户使用 70 个字符,在大多数情况下(如果不是全部),它会是一些类似的短语或smth,而不是生成强大的短语,所以将用户限制为最大长度 50 并添加另一个 20-22 个字符的胡椒不是更安全,这绝对是更安全/随机的。另外,假设黑客正在使用“常用短语”的彩虹表,我认为72 character common phrase被黑客攻击的机会比50 character common phrase + 22 character random string. 那么,这种使用胡椒和 50 最大长度的方法是否更好,或者我做错了,最好保留 72 最大限制(如果 qsn1 没问题)?

谢谢

顺便提一句:

根据 Owasp,密码的合理最大长度为 160 https://www.owasp.org/index.php/Password_Storage_Cheat_Sheet#Do_not_limit_the_character_set_and_set_long_max_lengths_for_credentials

谷歌的密码最大长度为 100

在此处输入图像描述

Wordpress 的最大限制为 50

https://signup.wordpress.com/signup/

0 投票
0 回答
393 浏览

openam - OpenAM Password Policy priority

We use OpenAM to manage users that have access to multiple applications. Access to all is controlled using SSO through OpenAM. Some of the applications need to have specific (minimum) password policies. When a user has access to more than one application for which there is a defined unique policy then the applied policy for the user password should be the most stringent.

How do we enforce this? In effect can we define a priority order for password policies?

Cheers Daryl

0 投票
0 回答
821 浏览

linux - 使用 pam_cracklib 的密码策略未针对 gui 中的 root 强制执行

我现在在 Red Hat 6.6 上,试图为 root 用户强制执行密码策略。我的 /etc/pam.d/system-auth文件包含以下几行:

它适用于 passwd 命令,当我尝试将密码更改为简单密码(如“123”)时,它不接受密码。

但是,当我尝试通过 GUI(gnome2、system-config-users 实用程序)更改它时,它只会发出有关密码复杂性错误的警告,并且无论如何我都可以应用弱密码。

如何拒绝通过 GUI 设置弱密码?

0 投票
0 回答
2431 浏览

sql-server - SQL Server 何时遵循最短密码期限策略?

根据此 SQL Server 2008 白皮书,SQL Server 仅应在 Check_Expiration(强制密码过期)选项打开时注意最小密码年龄策略。白皮书中的第 7 页明确指出“CHECK_EXPIRATION 使用 Windows Server 2003 策略的最短和最长密码期限部分,而 CHECK_POLICY 使用其他策略设置”。但是,这不是我发现的。看起来您只需要打开 Check_Policy(强制密码策略)。

例如,我有一个 SQL 登录(使用 SQL Server 身份验证),启用了强制密码策略,但强制密码过期关闭。我的域的密码策略将最小密码年龄设置为 1。我可以使用 sp_password 更改密码一次,但是当我再次尝试更改密码时,我收到此错误:

服务器:消息 15114,级别 16,状态 1,行 1 密码验证失败。用户密码太新,无法更改。

本白皮书中的文档是否完全错误?为什么在 Check_Expiration 关闭时会发生这种情况?我还发现这个网站还说只有在 Check_Expiration 开启时才应该强制执行最小密码年龄。我认为这对于 MAXIMUM Password Age 是正确的,但我发现当 Check_Expiration 关闭时,Minimum Password Age 仍在强制执行。

我的配置有什么奇怪的地方吗?当 Check_Expiration 关闭(但 Check_Policy 开启)时,是否真的应该强制执行最小密码年龄?


12345678910