Jeg kender ikke umiddelbart nogen metode men man kan opstille følgende betragtninger : 6+ bogstaver == godt blanding af tal og bogstaver == godt forskelsbehandling af STORE/små bogstaver == godt tal inde midt i ordet (og ikke kun til sidst) == godt bogstaver former ord fra ordbog == dårligt
Jeg ved at nogle linux-distributioner - når man ved installation skal indtaste rootpassword - bliver gjort opmærksom hvis ens password er for nemt at gætte - De må vel have en eller anden metode til at gøre det --- Men det indvolverer helt sikkert en dictionary-fil osv...
jeg synes det er ireterrende at have pas med 117 forskellige bogstaver og tal og kan knap nok huske det så jeg ville nok lade folk selv bestemme om det skal være let eller svært at finde deres pass!
jeg ved at www.n.dk har lavet det med asp hvor man skal blande tal og bogstaver så du kan tage kontakt til dem og høre hvad de har gjordt ikek sikkert de vil fortælle dig noget men man har lov at håbe du skal selvfølgelig ikke sige hit med jeres kode til jeres password halløj spørg pænt om hvordan det er opbygget så kan de måske hjælpe!
Problemet er at brugernes uforsigtighed med deres password i sidste ende kan betyde at services/produktet betragtes som useriøst. dvs. virksomhedens kompetance kan kompromiteres pga brugernes forsømmelighed
Ja, jeg ved også at Lotus Notes har en funktion, som underkender passwords, hvis de er for simple, men man kunne jo opstille en algoritme ud fra nogle simple betragtniger, f.eks. med udgangspunkt i bearhugx, som dog synes alt for eftergivende hvis du har grund til at kræve ordentlig sikkerhed ...
Jeg har på et tidspunkt læst -- ja sikkert i sidste årtusind, at et godt password _skal_ indeholde både bogstaver , tal _og_ mindst eet special-tegn, så sådan laves mine egne sikre passwords ...
problemet med autogenererede passwords er, at man tit ikke kan forholde sig intuitivt til dem...
Hvis person A fik autogen. passwordet q4cY7d5l
så ville han skulle vælge en af to muligheder 1) lære det udenad - det kan gøres med mnemoteknik - men er meget svært 2) forfalde til det, som de fleste gør, når de ikke umiddelbart forstår passwordet - skrive det ned (hvilket bryder en af de højste regler for passwords, nemlig aldrig at skrive passwords ned i klartekstform.)
Såå... min holdning er, at brugeren bør være den, som leverer passwordet - idet man må antage at brugeren så intuitivt kan forholde sig til det...
Nej, men hvis man nu lagde som regel, at det jeg beskrev _skulle_ holdes, så kunne man ret nemt lige teste for abcde5% som jo ikke ville være godt nok, men overholde de grundlæggende regler, så mit bud hedder:
Fortæl brugerne, at de skal finde på noget, som de forholdsvis nemt kan huske, det _skal_ indeholde både store og små bogstaver, _skal_ indeholde mindst eet tal og _mindst_ eet special-tegn og der må ikke være sekvenser i !o]
Begyndte at kigge på den, men jeg kan jo ikke noget php, så jeg måtte stå af på forståelsen, da tokenizerne begyndte at dukke op *g*
Men initialiseringen så lovende ud !-)
Selvom jeg ikke forstod at man startede med at fjerne store/små bogstaver, som for mig er en af de mest sikre måder at skabe simple passwords på en sikker måde på ...
Prøv du at kigge en over skuldrene mens han indtaster et password og se hvor tit du gætter rigtigt på store/små bogstaver eller tal/specialtegn ...
yeps.. men måske kan det bruges som framwork i alle tilfælde.. bare syndt det er sådan noget OOP eller hvad det hedder.. ikke til at forstå en meter af :=)
Hvis jeg skulle angive en simpel algoritme ville jeg prøve sådan ca. sådan (skabt på stedet, så gennemtænktheden -- hrmmm ,-)
Sæt de simple forudsætniger jeg skitserede ovenfor (store/små bogstaver, tal og specialtegn) ...
test først for en forekomst af hver (jeg kan ikke finde rundt i php-funktionerne for reg.exp, men ca.)
alle ereg_match(reg.exp, $str) med de fire nedenstående /^[a-zæøå]+$/g /^[A-ZÆØÅ]+$/g /^[0-9]+$/g og /^[!"#¤%&/()=?*'§½;.:,-_<>]+$/g <-- den mangler et større antal \escapes
skal være sande
-- derefter kører du strengene langsomt igennem og ser om to efterfølgende tegn har ascii-koder, som er ens eller kommer lige efter hinanden (7 check med et 8 tegns password, så den er overkommelig ...
è voílà vi har et password, som zq ik' li'e dur til noget snyderi ...
Jeg tror, at der må være en måde at skrive de fire regulære expressions sammen, men så langt er jeg ikke kommet med dem !-)
dank: Hvis du giver det objektorienterede en chance er jeg sikker på du vil blive glad for det - det er uvurderligt i nogle tilfælde! (Bliver endnu bedre med PHP5)
Husk en ting med dit system - at angive reglerne for valg af passwords overfor brugeren! Der er ikke noget værre end at skulle vælge et nyt password 4-5 gange indtil man er heldig at ramme ét som er "sikkert" nok - så har man allerede glemt det næste gang man skal bruge det...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.