15 年前發明煩死人的密碼規則，Bill Burr：抱歉浪費大家時間 - INSIDE

規定要大小寫跟數字符號真的是被狗幹的想法

不會吧?

問題通常是網站自己爆了把資料洩漏或者使用者自己中招，正面幹破密碼的案例根本少之又少，你忘記密碼的次數遠大於被人硬幹試出來吧

而且真的硬幹猜密碼，大小寫跟數字符號都是一樣的東西，你根本不需要要求人設，你只要讓猜密碼的認為會有這些選項讓他去踹啊

到頭來就長度最實際而已

多重驗證最實際

「我給你一個密碼，我只說一遍，你要記住，不然你就永遠都找不到我。
40342，40342，43424343420，024，43420，333424024，342024，3342024，34333433，3324，3430，044022」

啊啊正面被幹爆其實是破解密碼的基礎，是非常常見的XDDD
我們後面所看到的什麼限制錯誤次數之類的都是因為正面被幹爆太多太常見了，使用者又打死不想用複雜密碼才延伸出來的技術。

另外，在硬幹密碼的技術上，當然是先幹純數字、純小寫、純大寫、鍵盤排列組合、常見單字、常見年月日，所有字典檔全都跑遍了沒有辦法下才會去從純隨機碼開始猜。

強制大小寫和複雜度是有意義的(就防爆力破解的角度來說

現在破解速度能衝到每秒340萬個字詞；如果是純英文小寫8位數密碼，本地端跑爆力破解的話17小時就能跑完所有種類

系統裡最惡質的大概是定期換密碼&密碼不可和上次一樣；對暴力破解來說沒差別但對使用者來說非常噁心

現代的無密碼登入方式應該是最安全的(除非被割下或挖出來之類的)；無密碼登入方是在設定之初，本地端硬體針對生理資料基於某些時間與私鑰變數和伺服器協商後產生token，該token有效時間只有在認證當下(或加減幾秒)有效，所以被盜取token沒有意義。

而伺服器端沒有儲存生理資料，所以也無法產生能通過驗證的token = 資料庫就算被盜取，駭客也沒辦法進行本地端暴力破解。

而本地端硬體設備產生token時需要生理參數，所以硬體設備被偷本人沒事的話也沒事。

兩步驟驗證還存在著"忘記密碼與備用碼"的旁路破解手段，無密碼服務會連留下這手段可用的空間都不需要。

打錯密碼延遲幾秒回應就讓化解暴力法了

要求長度的時候我覺得還好，要求包含大小寫數字特殊符號真是要抓狂。

定期換密碼以及不可以和多久時間內用過的密碼一樣這種設定也很令我惱怒。

P@ssw0rd是大家的好夥伴

decsun : 伊莉好像就是錯五次叫你等20分鐘。

只會定期忘記密碼

不確定了，不過有些網站是這個樣子。

暴力破解太好防了，幾乎不用考慮

不能跟上次一樣不就變成找一個數字不一樣輪流嗎 XD 我公司帳號密碼後面就1234 2234 3234 4234 這四組輪替

有的會說太相似了

Nomind-無心 : 這就是Burr說的，防暴力破解不該從讓密碼變複雜這端設計，而是從系統端設計，他道歉的點是當時他幫自己研究所研擬的指南導致後續網路發展時參考到錯誤的資訊XD

目前我自己有在用、還禁止使用者用之前密碼的網站，有微軟跟國泰世華

大小寫數字特殊符號就算了 錯幾次就鎖起來就很哭 還不能使用前幾次的密碼

錯幾次鎖起來是防暴力破解必要的啊

90天換一次真的最糟糕，即使資安觀念不差的人也沒有那麼多優質的密碼可用，90天就消耗一個怎麼受得了，勢必往下換。(除了用密碼管理器)。實質降低安全性還增加使用者困擾。

以前有看過除了定期換還要配密碼器的 -_-

要求特殊符號可以所有密碼前加Aa1.繞過去，只要密碼長度限制沒有太短，增加前綴字串不會降低安全性。
最煩的狀況是有些系統不能用.；有些系統可以用.但不能用!；有些系統只能用.或_其他符號都不能。還要去記每個網站用的是哪個特殊符號。

安全提問可以用所有提問不管問讀什麼國小還是阿姨的名字都用一組無關的密碼繞過去。