问题标签 [passwords]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
security - 银行/金融网站实现临时交易密码的最佳实践/算法/方法
为网站实施临时交易密码功能的最佳做法是什么?
例如,在银行/金融场景中,例如 - 将资金从一个账户转移到另一个账户时,需要交易密码 - 进行交易时,需要交易密码 - 等等。
密码应该是临时的并且是基于时间的,即这个密码在 x 分钟后不应该工作。
你会推荐什么算法?您是否建议跟踪使用过的密码,即在某个商店中存储使用过的密码?
一些网站使用 OneTimePassword 设备。除此之外,请强调您认为可能合适的任何其他策略。
欢迎任何其他想法/建议/算法。
编辑:基于来自“lassevk”的问题
- 密码将通过电子邮件/电话/短信传达。
- 不涉及第三个站点。
我需要这个来为应用程序中的关键点提供额外的安全级别。这也可以称为“AuthenticationCode”。
browser - 浏览器如何加密网站密码?
Web 浏览器使用哪些特定于平台的 API 在本地系统上通过可逆加密安全地保存密码?
由于他们必须能够复制准确的字符以传递到网站,因此数据不能是单向哈希。我最初的想法是有一些系统方法利用您当前的身份验证数据来执行加密/解密,但不授予应用程序直接读取它的权限(您的系统登录数据)。我想知道这些在不同平台(Windows、Linux、OS X)上是什么,以及如果直接访问硬盘驱动器,它们保护信息的能力如何;即,将被盗的笔记本电脑硬盘驱动器放入另一台计算机或通过 Live CD 进行分析。
asp.net - 如何控制 MembershipUser.ResetPassword() 格式
是否可以控制通过调用 MembershipUser.ResetPassword() 自动生成的密码格式?
我希望能够在生成的密码中允许或不允许某些特殊字符。
我正在使用密码格式为 Hashed 的 SqlMembershipProvider。
谢谢。
security - 为什么 Web 应用坚持定义严格的密码规则?
你们都遇到过各种网站,这些网站强制您使用 6 个字符长的密码,必须有 1 个数字,并且必须与“烦人”押韵。
显然有一些遗留的原因,为什么有时这是必要的,但有时这都是为了安全。我发现这很烦人,因为我有一组标准密码,这些密码通常不符合这些特殊规则,所以我必须创建并记住一个新密码。
如果您担心用户密码的复杂程度,似乎在安全方面还有更重要的事情需要担心。如果有人真的可以掌握该密码,那么您显然需要担心更大的问题。在依靠用户担心您的安全之前,请尽自己的一份力量并锁定您的系统端。
我的实际问题是:这些复杂的密码规则有哪些替代方法来降低彩虹表或暴力哈希反向器的风险,而不依赖用户承担记住复杂事物的重任?
一些想法:盐渍,...
javascript - 有没有办法在不使用服务器端语言的情况下对 HTML 页面进行密码保护?
我有一系列相互关联的网页,我想通过要求用户提供登录名和密码来限制对这些网页的访问。但是,我的托管帐户目前不提供任何服务器端脚本功能 - 有什么方法可以仅使用客户端脚本来实现此目标?
我想知道以下程序是如何工作的 -
http://www.myzips.com/software/HTML-Password.phtml
澄清:感谢您的投入。但是,如果我正在配置 Web 服务器,那么用户是否有可能输入用户名和密码?
c++ - 如何在 C++ 中创建强密码字符串?
想用 C++ 创建一个强密码。有什么建议么?
我认为它应该使用字母(大写和小写)、数字、特殊字符。
能够指定最小长度会很好。
最好避免使用难以在视觉上区分的字符,例如“O”和“O”
将所有相同的字符、字典单词、颠倒的单词、名称都作废会很棒。
还有其他提示吗?我在哪里可以找到这样的代码?
windows - Windows 相当于 OS X 钥匙串?
在 Windows 中是否有用于存储用户密码的 OS X 钥匙串的等价物?我会用它来保存我的(桌面)软件使用的网络服务的用户密码。
从这个相关问题的答案(Protecting user passwords in desktop applications (Rev 2))和大量可用的第三方密码存储工具,我认为这样的事情不存在——我是否坚持要求每次访问 Web 服务时的密码,还是只是将其混淆存储?
c# - 是否可以将属性网格中显示的属性标记为密码字段
我正在使用 C# 并且有一个包含属性网格控件的 Windows 窗体。
我已将 propertygrid 的 SelectedObject 分配给一个设置文件,该文件显示并允许我编辑设置。但是其中一项设置是密码 - 我希望它在字段中显示星号,而不是密码设置的纯文本值。
保存时该字段将被加密,但我希望它的行为类似于普通的密码输入框,当用户输入密码时会显示星号。
我想知道是否有一个属性可以应用于设置属性以将其标记为密码?
谢谢。
asp.net - 一个合理的 PasswordStrengthRegularExpression
我们正在使用标准的 ASP.NET 身份验证提供程序(AspNetSqlMembershipProvider,因为它发生了),并且默认密码强度要求对于我们的需求来说有点过分。
我们要求我们的用户输入至少包含字母数字的密码(即,如果用户愿意,可以输入字母和至少一个强制数字、混合大小写和非字母数字字符)。
谁能建议什么 PasswordStrengthRegularExpression 设置可以实现这一点?
此外,如果用户尝试使用的密码未通过正则表达式检查,我们如何控制向用户显示的错误消息?
笔记
发现该minRequiredNonalphanumericCharacters属性必须设置为0,否则此设置会覆盖任何使用的正则表达式
unix - 如何将密码传递给“su”命令?
我有一个程序将密码作为输入,然后执行 shell 以在 UNIX 中执行“su”(切换用户)命令。但是,我不知道如何将密码变量传递给 UNIX su 命令。我必须使用的语言非常有限(UniBasic)。
有任何想法吗?