用户密码怎样设计可以算是安全?

标签:安全密码

访客:9268  发表于:2016-07-25 10:31:03

1.没有绝对的安全。 就像规矩就是用来打破的,密码也是。并不是密码越长什么组合式密码就一定安全。密码越长越不容易记住。不应该只考虑密码本身怎么设计。

2.密码设计要在用户体验和安全之间去找到平衡。

3.从使用场景和用户心理出发去设计适合当下的解决方案。(选择一个方案都是需要付出相应的代价,没有最好的方案之后最合适的方案。选择这个方案之前需要考虑清楚是否能承受这个代价。)

4.用户密码又哪些:登录密码 支付密码 阅读密码 开机密码 .......不同的密码适用于不同的场景

比如说:移动端登录时,现在有些app会设计成手机验证码直接登录

优势:1.用户不用记住密码,手机验证码直接登录。2.手机注册+手机验证码=登录。

劣势:1.短信通道有堵塞的风险。2.容易遭受恶意攻击,被攻击时有哪些防御方案

3.短信费用是一个问题。

使用场景:1.因为移动端长期在线的特点这个设计方案是相对行的通且用户体验好。

2.同一设备使短信验证更方便。

补充说明:一般移动端手机验证码登录后面还会引导用户设置密码。(留条后路)

5.web端设计密码的套路(很多技术都知道,产品经理也应该知道):

a:限制用户输入常见,简单的密码,建立常见口令的黑名单。比如 :123456 admin 111111

你可以限制用户口令的长度,是否有大小写,是否有数字,你可以用你的程序做一下校验。做密码安全等级提示

b:限制用户输入和注册方式高度相同的密码。比如 在注册邮箱和注册手机号前面➕自己的姓名缩写字母。 (我就是这么干的)

c:设置Cookie的过期时间。

d:对用户密码进行加密保存。现在很多人都是用相同注册id 和密码 登录多个网站,对于用户密码进行加密是对公司内的一道防线。

e:不同设备登录做限制。同设备不同浏览器登录做限制(看情况 大多数不要着么严格)。若在同不同设备同时登录 需要提示和登录序列失效。

来源;PMCAFF 作者;萧煜

f:密码防御:

1.多次登录失败锁定帐号禁止登录。 多次失败--禁止登录--密码找回

2.多次登录失败后 使用验证码来验证非恶意攻击。

3.应该还有全局防守

g:密码找回:现在比较流行的是短信验证码,验证找回。当然也有邮件。

还有就是非常烦的 安全问题。

还是上面那句话。没有真正安全的密码,只能从使用场景 用户心理 去设计我们的方案。你还有可能碰到需要设置多重密码的产品,这个时候就需要从业务流程当中找到关键节点去引导用户。

评论(0)

您可以在评论框内@您的好友一起参与讨论!

<--script type="text/javascript">BAIDU_CLB_fillSlot("927898");