例如,密码由字母、数字、符号组成。
我不确定我是否理解问题的前提?要增强密码,您确实需要包含大小写字母、数字和符号的混合。最好是随机的,并且每个站点/登录名都唯一。
密码管理器也是一个有用的工具。
不过,这是关于密码的一般性建议,并非针对 Discourse。
1 个赞
也许你误会我了。我的意思是,我创建了一个 Discourse 论坛。当新用户注册时,我需要将他们的密码限制为三种类型
我只能从系统设置中调整密码的长度
我明白了。您想强制用户使用包含字母、数字和符号组合的密码。
恐怕我目前不知道有任何方法可以做到这一点。
1 个赞
不过,还是谢谢你
有人能解决这个问题吗?
我认为只有这些设置:
在我看来,这是一个合理的功能请求?
让密码更难接受的缺点是,您可能会在注册过程中激怒用户,并阻止他们完成注册?此功能的优先级肯定会因社区而异?
@1378434153 解决此问题的另一种方法是阻止本地登录,并强制使用具有更强规则的社交/身份验证登录。
另一件需要考虑的事情是强制所有帐户启用双重身份验证。
1 个赞
谢谢。但我不需要双重身份验证。
但是也许你的用户需要,或者想要?这应该是第一位的,而不是你的需求。
1 个赞
这不成问题。关于存在何种字符的任意规则无济于事,只会惹恼用户。密码还会与已知密码数据库进行检查(至少我记得是这样)。
可以肯定的是,制定密码规则的人在研究最佳实践方面花费的时间和精力比大多数人都多。我建议你找点别的事情担心。
如果你愿意,只需支付 250 美元到 1000 美元,就可以在 Marketplace 发布信息,并强制执行你想要施加给用户的任何规则。
1 个赞
行业最佳/推荐实践(例如 NIST 所倡导的)已不再建议强制要求“LUDS”(大写字母 + 小写字母 + 数字 + 符号)或任何其他字符类别要求。作为最佳实践,它们已严格转向最低长度限制。例如,请参阅 NIST 五年前的这篇博文:
它总结了指南的变更,据我所知,Discourse 已实施了推荐的实践。
6 个赞
还有一个经常被忽视的点——所有这些都非常以英语为中心。你认为……如果我使用芬兰语、瑞典语、德语或任何非英语语言的简短且简单的密码,脚本/机器人能多快破解它?
当然,这在美国、加拿大、英国等地没有帮助,但世界远不止于此 
这意味着一件事:所有这些都是因为讲英语的用户使用像 password 或 qwerty 这样的密码 
但是的,我有点厌倦了管理员说我不能使用像 ÄitiniMun 这样的密码,因为它没有数字或其他东西。
太简单的密码不是问题。在多个服务中使用相同的电子邮件/密码组合才是。
1 个赞
NIST 在这方面确实走在了前面。例如,PCI-DSS 才刚刚将密码长度要求从 8 个字符增加到 12 个,并且仍然要求字母数字密码。
2 个赞
正如 @Stephen 和 @mcdanlj 在上面所说,强制执行这一点已不再是最新的安全实践,因此我们不要求这样做。
但是,如果您想完全控制 Discourse 的登录过程,可以通过使用 DiscourseConnect 将身份验证委托给您控制的 Web 服务。
4 个赞
好的,我明白了。也许这确实不是一个合理的要求。
1 个赞
This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.