funktion til at vurdere hvor godt er password er

*lytter*

du kan lave et array evt og sætte dem som evt er dårlige i og noget som ligner det også en med gode også sammen ligne med det intastede

Jeg kender ikke umiddelbart nogen metode men man kan opstille følgende betragtninger :
  6+ bogstaver == godt
  blanding af tal og bogstaver == godt
  forskelsbehandling af STORE/små bogstaver == godt
  tal inde midt i ordet (og ikke kun til sidst) == godt
  bogstaver former ord fra ordbog == dårligt

Jeg er enix i ovenstående betragting fra jer begge.. problemet bliver blot, at det ikke vil være særligt avanceret.

Jeg tænker mere i baner af noget mere "intilligent" system.

Synes efterhånden jeg ser en del brugere med alt for lette passwords.. nu skal det stoppes :)

det er vel op til brugeren om folk skal kunne gætte deres password..

Jeg ved at nogle linux-distributioner - når man ved installation skal indtaste rootpassword - bliver gjort opmærksom hvis ens password er for nemt at gætte - De må vel have en eller anden metode til at gøre det --- Men det indvolverer helt sikkert en dictionary-fil osv...

jeg synes det er ireterrende at have pas med 117 forskellige bogstaver og tal og kan knap nok huske det så jeg ville nok lade folk selv bestemme om det skal være let eller svært at finde deres pass!

jeg ved at www.n.dk har lavet det med asp hvor man skal blande tal og bogstaver så du kan tage kontakt til dem og høre hvad de har gjordt ikek sikkert de vil fortælle dig noget men man har lov at håbe du skal selvfølgelig ikke sige hit med jeres kode til jeres password halløj spørg pænt om hvordan det er opbygget så kan de måske hjælpe!

the_legend> "det er vel op til brugeren om folk skal kunne gætte deres password.."

Nej! Og det er der gode grunde til.

Hvis jeg ikke finder en løsning, så bliver løsningen et autogenereret password :o/

Problemet er at brugernes uforsigtighed med deres password i sidste ende kan betyde at services/produktet betragtes som useriøst. dvs. virksomhedens kompetance kan kompromiteres pga brugernes forsømmelighed

Ja, jeg ved også at Lotus Notes har en funktion, som underkender passwords, hvis de er for simple, men man kunne jo opstille en algoritme ud fra nogle simple betragtniger, f.eks. med udgangspunkt i bearhugx, som dog synes alt for eftergivende hvis du har grund til at kræve ordentlig sikkerhed ...

Jeg har på et tidspunkt læst -- ja sikkert i sidste årtusind, at et godt password _skal_ indeholde både bogstaver , tal _og_ mindst eet special-tegn, så sådan laves mine egne sikre passwords ...

problemet med autogenererede passwords er, at man tit ikke kan forholde sig intuitivt til dem...

  Hvis person A fik autogen. passwordet q4cY7d5l

så ville han skulle vælge en af to muligheder
1) lære det udenad - det kan gøres med mnemoteknik - men er meget svært
2) forfalde til det, som de fleste gør, når de ikke umiddelbart forstår passwordet - skrive det ned (hvilket bryder en af de højste regler for passwords, nemlig aldrig at skrive passwords ned i klartekstform.)

Såå... min holdning er, at brugeren bør være den, som leverer passwordet - idet man må antage at brugeren så intuitivt kan forholde sig til det...

roenving >> listen er ikke på nogen måde uddybende...

det er også ok, at brugeren leverer password'et, men jeg vil forbeholde mig ret til (via script) at underkende dette, hvis det er for let

123456, aaabbb, aaa, zzz, zzaaqq, computer, $username

o.s.v.

Jeg har googlet rundt.. det *må¨* der være nogen der har lavet en smart løsning til :o)

Nej, men hvis man nu lagde som regel, at det jeg beskrev _skulle_ holdes, så kunne man ret nemt lige teste for abcde5% som jo ikke ville være godt nok, men overholde de grundlæggende regler, så mit bud hedder:

Fortæl brugerne, at de skal finde på noget, som de forholdsvis nemt kan huske, det _skal_ indeholde både store og små bogstaver, _skal_ indeholde mindst eet tal og _mindst_ eet special-tegn og der må ikke være sekvenser i !o]

som sagt - både folk fra Lotus Notes - og linux-verdenen har lavet funktioner til det  - så det var måske en ide at vende snuden i den retning :-)

Ref. til senere check:

http://php.emaginedev.biz/browse.html/package/656.html

Hvordan kan du holde ud at kigge på sådan en side ...

Jeg måtte lukke den før jeg fandt ud af hvad det handlede om ...

grrrrrr -- jeg kan blive så edderspændt -- nå nej ikke rasende -- men så uprofessionelt at overfylde en brugerflade med 14-40 effekter

PS. står der noget interessant der ?-)

kigger ikke på layout men på indhold - der er vist ret meget at hente derinde.

men man skal melde sig ind før man kan downloade noget derfra...

Der er også Text-->Text_Password fra PEAR frameworket...

http://scripts.1go.dk/securepwd.inc.php.phps

Nej jeg kigger slet ikke på layout ...

Jeg gider bare ikke bruge hundrede år på at parse indholdet af en brugerflade *g*

^ Her er filen som .phps

Der er også en dictionary fil

Begyndte at kigge på den, men jeg kan jo ikke noget php, så jeg måtte stå af på forståelsen, da tokenizerne begyndte at dukke op *g*

Men initialiseringen så lovende ud !-)

Selvom jeg ikke forstod at man startede med at fjerne store/små bogstaver, som for mig er en af de mest sikre måder at skabe simple passwords på en sikker måde på ...

Prøv du at kigge en over skuldrene mens han indtaster et password og se hvor tit du gætter rigtigt på store/små bogstaver eller tal/specialtegn ...

roenving  >> den med case undrede jeg mig også en del over :-)

yeps.. men måske kan det bruges som framwork i alle tilfælde.. bare syndt det er sådan noget OOP eller hvad det hedder.. ikke til at forstå en meter af :=)

Hvis jeg skulle angive en simpel algoritme ville jeg prøve sådan ca. sådan (skabt på stedet, så gennemtænktheden -- hrmmm ,-)

Sæt de simple forudsætniger jeg skitserede ovenfor (store/små bogstaver, tal og specialtegn) ...

test først for en forekomst af hver (jeg kan ikke finde rundt i php-funktionerne for reg.exp, men ca.)

alle ereg_match(reg.exp, $str) med de fire nedenstående
/^[a-zæøå]+$/g
/^[A-ZÆØÅ]+$/g
/^[0-9]+$/g
og
/^[!"#¤%&/()=?*'§½;.:,-_<>]+$/g <-- den mangler et større antal \escapes

skal være sande

-- derefter kører du strengene langsomt igennem og ser om to efterfølgende tegn har ascii-koder, som er ens eller kommer lige efter hinanden (7 check med et 8 tegns password, så den er overkommelig ...

è voílà vi har et password, som zq ik' li'e dur til noget snyderi ...

Jeg tror, at der må være en måde at skrive de fire regulære expressions sammen, men så langt er jeg ikke kommet med dem !-)

dank: Hvis du giver det objektorienterede en chance er jeg sikker på du vil blive glad for det - det er uvurderligt i nogle tilfælde! (Bliver endnu bedre med PHP5)

Husk en ting med dit system - at angive reglerne for valg af passwords overfor brugeren! Der er ikke noget værre end at skulle vælge et nyt password 4-5 gange indtil man er heldig at ramme ét som er "sikkert" nok - så har man allerede glemt det næste gang man skal bruge det...

Det hedder "Proactive Password Checking". Læs fx
http://citeseer.nj.nec.com/bishop92proactive.html
eller prøv Google

opret svar alle

Det er jo lidt interessant, kan du ik' fortælle hvor du selv er kommet til ?o]
'-)

svar!

Indtil videre har jeg skrinlagt det.. Men inden for kort tid, skal jeg forbedre disse rutiner.

Jeg skal nok poste her hvad jeg finder ud af, og hvordan den klasse der er linket til virker o.s.v.

Tak for hjælpen.

-- og tak for points ;~}