应用程序报告当前密码到期还剩下多少天是否不安全?

| 应用程序报告当前密码到期还剩下多少天是否不安全? 例如,如果密码每30天过期一次,或者应用程序告诉您密码将在5天后过期(当然是在您登录后)。 还是该应用程序可能存储了一个cookie,该cookie告诉应用程序在密码到期前三天开始建议更改密码? 这两种方法都将被视为不良做法吗?     
2020-02-24 4 条评论
分享

没有找到相关结果

    已邀请:

    屡倒雷图

            请参阅Bruce Schneier的有关更改密码的博客文章。 密码过期的主要原因是使受破坏的密码过期;告诉用户(或攻击者)它将过期不会改变这一点。它的作用是告诉攻击者在截止日期之前做出其他让步。这是否有风险取决于是否存在此类攻击者(我希望要做的第一件事就是安装rootkit)。 安全性好处在于,给了用户一定时间(例如一周)来考虑新密码。只要我不急于完成工作,我就可以在一两分钟内输入一个像样的密码。否则我只会在最后增加一个计数器。每个人都这样做。 我的感觉是,有效地说出“在下周的某个时候,想一个新的密码”的好处远胜于潜在的风险,但是30天太短了。我实际上只需要记住几个密码(电话,笔记本电脑+ root,家庭服务器+ root,工作计算机+服务器,密码安全);改变其中任何一个都是乏味的。 有多种方法可以确保用户不选择与旧密码相关的密码;他们都不是特别好。     
    2020-02-24 0 0
    分享

    蜗仓馈

            我认为,如果您需要告诉用户密码在这么多天内到期,则应该创建一个页面,该页面在登录完成后出现。 例如,如果您有一个页面作为您的登录表单,则此后转到另一个脚本,该脚本在成功登录后会重定向到主页。 除了立即重定向之外,您还可以在页面上使用“ 0”使用户有五秒钟的时间来阅读页面,并显示用户在密码过期之前还有多少天。 但是请确保仅在登录后才显示该消息,否则,黑客可以阅读登录页面的内容以了解何时需要更改其密码。 Ad @ m     
    2020-02-24 0 0
    分享

    慰泥悍瓶

            我认为告诉用户密码何时过期并不安全-至少我看不到它如何切实地帮助攻击者。无论如何,这都是惯例-正如亚当(Adam)所言,Windows本身就是这样做的。     
    2020-02-24 0 0
    分享
    为什么被折叠? 0 个回复被折叠

    要回复问题请先登录注册

    或代码 OrCode.com 备案号:粤ICP备15020848号-1
    Escape time: 0.057754993438721