ref Ray
這是某大金控給企業用戶帳號規定的密碼原則, 以此原則, 實地試過以下密碼都無法合格:
-------------
s833iwpqo5 (連續兩個3)
booking97128 (連續兩個o)
1450bclisting (45連續數字)
-------------
我是不知道, 有甚麼論文可以驗證: 以上屬於不安全密碼? 與其規定這麼多, 你還不如將最低 6 碼提高到最低 10 碼就好, 至少在 2024 年, 最低10碼的破解時間也需要很久....

密碼規則設到很偏執, 先被搞死的是用戶, 不是駭客; 因為你不讓用戶使用他隨手可背出來的密碼, 最後他還是要寫在某個地方記下來, 那個被記下來的東西, 才是最大風險所在...

--- 可惜銀行不會學 Chrome 自動產生亂數密碼。幫用戶取密碼。 wwwww

我登入銀行app 幾乎都會錯一兩次，然後要去翻找放在某處的密碼提示，找不到就先不登，因為三次就會鎖住....
其中主要來往銀行我應該是無法找回密碼，現在只能靠 Face ID...

他至少沒規定不得為鍵盤連號XDDDD
初衷是防字典檔啦~

除了會讓客戶被迫寫下來之外，讓客戶在這麼小的解空間內養成特定的密碼習慣我也覺得很危險：比方說客戶名公司名銀行名再數字之類的

這樣除了寫下來根本不可能的記住啊

ref
陳育德
我問過我們的外部稽核，稽核說台灣上頭的主管機關沒改建議方針或規定，建議你們沒事不要挑戰主管機關 ╮（╯＿╰）╭

wwwww

1password 還有其他密碼管理器表示

2FA + 密碼 表示：

有趣的是，銀行 APP 也有不能用符號等複雜字元的奇葩規定
當初就被上海銀行搞到，電腦版正常用但 APP 怎樣就進不去

FaceID應該只是masterkey，實際問題還是在密碼生成app好方便

zip23|五月病重患 : 他們怕注入攻擊

有些防護只是前面掛個js檢查，檔掉js後反而可以嘗試注入看看

低能兒耶...

歡迎大家來這邊提供意見

徵集意見：密碼規範建議

先在這邊挑戰並推翻主管機關「過時的」規定，比開發時才要挑戰主管機關的「既有」規定好w

目前公司的要求要15碼 該含的都要含 不能連續字 不能跟帳號重複 明天到期我到現在還弄不出一組合格的密碼............

RJ（^o^）ノツ : 讚。我把這連結，貼回 Ray 那邊去。

RJ（^o^）ノツ : 這討論蠻有趣的，當時剛創立時還看到不同領域的工程師在針對某個密碼規範究竟有沒有意義吵架XD

我一開始也有提 passwordless 機制啦...不過這篇主要是針對密碼規範，所以密碼以外的就先不討論

...回去翻了一下，記錯了
主要是因為要有國際標準規範，也就是其他國家制定的標準規範，拿這些標準去「壓」我國政府冗官員去「參考」既有的標準規範aka人家是權威你乖乖聽話！

RJ（^o^）ノツ : 比較新一點是你給我mail我給你密碼，無法登入就算了這樣

雖然有點扯開話題

以前還被規範過「帳號」的複雜度
最高權限的「帳號」不能太容易被猜到

我後來索性把帳號
當成密碼處理
直接亂數生成

root和Administrator大家都知道，不是新聞

Renamed_Admin, Renamed_Guest
關於政府組態基準GCB之規則與排除項