21,886
社区成员
发帖
与我相关
我的任务
分享网站登陆密码应不应该允许特殊字符?
这似乎是一个安全性问题。
因为我用的一些密码都是随机字符串,所以里面常常包含一些特殊字符。但不少网站却不允许使用除了"_"之外的特殊字符(有的甚至不容许任何特殊字符)。
难道这不是鼓励用户使用简单密码吗?
另外,密码使用了特殊字符,难道会增加开发难度?
因为我用的一些密码都是随机字符串,所以里面常常包含一些特殊字符。但不少网站却不允许使用除了"_"之外的特殊字符(有的甚至不容许任何特殊字符)。
难道这不是鼓励用户使用简单密码吗?
另外,密码使用了特殊字符,难道会增加开发难度?
...全文
请发表友善的回复…
发表回复
智商众筹 2014-06-27
- 打赏
- 举报
谁挖的坟
智商众筹 2014-06-27
- 打赏
- 举报
找回密码可以生成一个随机值入库然后丢进他邮箱里啊!可以不用存明文!
至于密码强度,我个人觉得一般网站不应太苛刻,够字符数就好,涉及金钱或敏感信息的网站应严格要求
如果hash的话,什么特殊字符都无所谓了吧
小在在 2014-06-27
- 打赏
- 举报
必然应该,安全的密码就是越复杂越好
卖水果的net 2014-06-27
- 打赏
- 举报
呵呵!
绝不原创的飞龙 2014-06-27
- 打赏
- 举报
个人认为应该是所有ascll可打印字符去掉del 也就是0x20 ~ 0x7e的部分
(0x7f不显示 但是也算一个字符 容易导致显示上重名)
强迫不强迫用户字母数字的组合是你自己的事情
另外后端最好使用支持参数化查询的库 最大程度上防止sql注入
可见一斑 2013-09-16
- 打赏
- 举报
这不是SB,是对客户负责。
www_7di_net 2013-09-15
- 打赏
- 举报
昨天在台灣看到一個SB网站,站长不知道怎么想的,注册时要求密码必须要同时包含大写字母,小写字母,数字,和下划线
费了牛劲注册完了之后,竟然程序没有自动帮我登陆,好吧,那我自己登陆,登陆的时候发现密码忘记了,,哈哈,输入了十几次都提示密码不对,最后果断放弃....
redlz2500 2013-09-15
- 打赏
- 举报
主要应该是防止sql注入吧
Hx_Moon_ 2013-09-15
- 打赏
- 举报
现在很多找回密码,并不是真实的密码,只是通过邮件链接修改密码,明文密码是对客户的不负责啊
flymood_cn 2013-09-09
- 打赏
- 举报
存入数据库已进行md5加密,所以什么字符应该都是可以的
放飞心情 技术人生
baoxiaohua 2013-09-09
- 打赏
- 举报
反正明文保存密码不是没有的,虽然听起来好像很匪夷所思!
不过有时候为了能快速找回密码或者提供密码,也是没有办法的事情!
xuzuning 2013-09-08
- 打赏
- 举报
是的,使用明文保存密码 是传统的做法
只要他有“找回密码”的功能,都是 使用明文保存密码 的
其实仅仅限制密码不允许特殊字符是不妥当的
用户名可不可以呢?
搜索串呢?
可见一斑 2013-09-08
- 打赏
- 举报
就像楼上几位说的,使用摘要算法取其摘要值之后根本不需要考虑特殊字符的问题。
我只是对某些网站限制特殊字符表示不理解,难道这些网站是使用明文保存密码?
码无边 2013-09-06
- 打赏
- 举报
用户输入什么密码无所谓,只要输入方式不要太简单就可,对数据库什么的是没有影响的。
歪着看世界 2013-09-06
- 打赏
- 举报
采取什么字符关键看需要吧,看程序设置吧。楼主是不是担心有injection攻击?
www_7di_net 2013-09-05
- 打赏
- 举报
xu大请教如果可以使用诸如 斜线 反斜线 单引号 双引号 百分号 星号等特殊符号,在服务器端md5并入库之前,做什么操作来保证安全性吗? 或者说会有什么安全隐患吗?[/quote]因為你的數據庫里存儲的是md5加密後的內容,md5只會有英文和數字,所以只要在入庫之前你處理好了安全問題的話,理論上使用什麽作為密碼倒是無所謂.
xuzuning 2013-09-04
- 打赏
- 举报
应该允许所有西文键盘可输入的字符
健壮的密码是 大写字母、小写字母、数字、符号 至少3种的组合
xuzuning 2013-09-04
- 打赏
- 举报
既然你在入库之前要md5,那么还需要检查吗?
再看我一眼 2013-09-04
- 打赏
- 举报
xu大请教如果可以使用诸如 斜线 反斜线 单引号 双引号 百分号 星号等特殊符号,在服务器端md5并入库之前,做什么操作来保证安全性吗? 或者说会有什么安全隐患吗?
