كيف يمكنني فرض تعقيد كلمة مرور المستخدم؟

على سبيل المثال، تتكون كلمة المرور من أحرف وأرقام ورموز.

لست متأكدًا من فهمي لفرضية السؤال؟ لتقوية كلمة المرور، ستقوم بالفعل بتضمين مزيج من الأحرف بأحجام مختلفة وأرقام ورموز. ويفضل أن تكون عشوائية وفريدة لكل موقع/تسجيل دخول.

مدير كلمات المرور هو أداة مفيدة أيضًا.

هذه نصيحة عامة لكلمات المرور، وليست خاصة بـ Discourse.

ربما أسأت فهمي. ما أعنيه هو أنني أنشأت منتدى نقاش. عندما يسجل المستخدمون الجدد، أحتاج إلى تقييد كلمات المرور الخاصة بهم إلى ثلاثة أنواع

يمكنني فقط ضبط طول كلمة المرور من إعدادات النظام

أعتقد أنني أفهم. تريد فرض أن تكون كلمات مرور المستخدمين مزيجًا من الأحرف والأرقام والرموز.
أخشى أنني لا أعرف طريقة للقيام بذلك حاليًا.

حسنًا، شكرًا لك على كل حال

هل هناك أي شخص يمكنه حل هذه المشكلة؟

أعتقد أن هذه هي الإعدادات الوحيدة:

image657×299 6.41 KB

image895×125 3.65 KB

في رأيي، هذا طلب ميزة معقول؟

العيب في جعل كلمات المرور أكثر صعوبة في القبول هو أنك قد تثير استياء المستخدمين أثناء التسجيل وتمنعهم فعليًا من إكماله؟ ستختلف أولوية هذا بالتأكيد حسب المجتمع؟

@1378434153 طريقة أخرى لحل هذا قد تكون منع تسجيل الدخول المحلي وإجبار تسجيل الدخول الاجتماعي/المصادقة الذي لديه نظام أقوى.

شيء آخر يجب مراعاته هو فرض المصادقة الثنائية على جميع الحسابات.

شكرا لك. لكنني لا أحتاج إلى المصادقة الثنائية

ولكن ربما يحتاج المستخدمون، أو يريدون؟ يجب أن تكون هذه هي الأولوية الأولى، وليس حاجتك.

ألا يمكنك فرض كلمات مرور أطول وتحقيق نفس الشيء؟

740×601 90 KB

لا توجد مشكلة. وجود قواعد اعتباطية حول أنواع الأحرف لا يساعد ويزعج المستخدمين فقط. يتم أيضًا التحقق من كلمات المرور مقابل قاعدة بيانات كلمات مرور معروفة (أو هكذا أعتقد أنني أتذكر).

من المحتمل أن الأشخاص الذين وضعوا قواعد كلمات المرور قد أمضوا وقتًا وطاقة أكبر في البحث عن أفضل الممارسات مقارنة بمعظم الناس. أقترح عليك البحث عن شيء آخر تقلق بشأنه.

إذا أردت، مقابل 250 دولارًا إلى 1000 دولار، يمكنك النشر في Marketplace وتعيين أي قواعد تريد فرضها على المستخدمين الخاصين بك.

أفضل الممارسات الصناعية/الموصى بها (مثل تلك التي يروج لها NIST) لم تعد توصي بمتطلبات “LUDS” (الأحرف الصغيرة + الأحرف الكبيرة + الأرقام + الرموز) أو أي متطلبات أخرى لفئات الأحرف. لقد انتقلوا بشكل صارم إلى قيود الحد الأدنى للطول كأفضل ممارسة. انظر على سبيل المثال هذه التدوينة من NIST قبل خمس سنوات:

تلخص التغييرات في الإرشادات، وعلى حد علمي، نفذ Discourse الممارسات الموصى بها.

وهناك نقطة أخرى غالبًا ما تظل بعيدة عن الأنظار - كل هذه الأشياء تتمحور حول الثقافة الأنجلو-ساكسونية. ماذا تعتقد… إذا كنت أستخدم كلمة مرور قصيرة وسهلة باللغة الفنلندية أو السويدية أو الألمانية أو أي لغة أخرى غير الإنجليزية، فكم من الوقت سيستغرق النص البرمجي/الروبوت لكسرها؟

بالتأكيد، هذا لا يساعد في الولايات المتحدة أو كندا أو المملكة المتحدة وما إلى ذلك، لكن العالم أوسع بكثير هذا يعني شيئًا واحدًا: كل شيء يتم فعله لأن المستخدمين الناطقين باللغة الإنجليزية يستخدمون كلمات مرور مثل “password” أو “qwerty”

لكن نعم، لقد سئمت قليلاً عندما يقول المسؤول لا يمكنني استخدام كلمة مرور مثل “ÄitiniMun” لأنه لا يوجد بها أرقام متعددة أو شيء من هذا القبيل.

كلمات المرور البسيطة جدًا ليست مشكلة. استخدام نفس تركيبة البريد الإلكتروني/كلمة المرور في عدة خدمات هو المشكلة.

NIST متقدم بالتأكيد على المنحنى في هذا الشأن. معيار PCI-DSS على سبيل المثال، انتقل للتو من 8 إلى 12 حرفًا، ولا يزال يطالب بكلمات مرور أبجدية رقمية.

كما ذكر أعلاه @Stephen و @mcdanlj، فإن فرض ذلك لم يعد ممارسة أمنية حديثة، لذلك لا نطلب ذلك.

ومع ذلك، إذا كنت تريد تحكمًا كاملاً في عملية تسجيل الدخول إلى Discourse، يمكنك تفويض المصادقة إلى خدمة ويب تحت سيطرتك عن طريق الاستفادة من DiscourseConnect.

حسنًا، فهمت. ربما لم يكن طلبًا معقولًا بعد كل شيء

This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.