密码设置需避开哪些雷区?

此外，用户成为网络钓鱼攻击的受害者，因为一些用户无论密码要求如何都会选择安全性弱的密码，等等。

• 防御：要求用户使用多因素身份验证登录。请记住多因素身份验证的含义：使用至少两种不同因素进行身份验证(典型因素是您知道的事情、拥有的物品、以及生物识别等等)。使用两种不同的密码(例如，密码+安全问题的答案)不是多因素身份验证。同时使用密码和动态口令属于多因素验证的一种。此外，请记住，某些多因素身份验证机制比其它多因素身份验证机制更安全(例如，加密设备比基于SMS的一次性密码更安全)。无论如何，使用某种形式的多因素身份验证总是比仅依靠密码更安全。

如果必须仅使用密码进行身份验证，用户则还必须采取某种类型的设备身份验证。这可能涉及设备/浏览器指纹识别，检测用户是否从不寻常的IP地址登录，或类似的方式。

结论

如您所见，处理用户密码时需要考虑很多事项。我们还没有谈到密码轮换策略、帐户锁定、帐户恢复、速率限制，防止反向暴力攻击等等。

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!