0
我实现以下登录系统:允许用户登录,即使密码稍微偏离
如果密码是稍有不同(例如一个字符应为大写但是小写)用户可以登录,如果以下几点是值得尊重的:
- 登录IP应该与之前用户以前登录的IP匹配。
- 输入的密码之间的差异应该是最小的,因此它不允许用户登录,如果它包含超过2/3差异。
- 可选 - 记录用户记下密码并确保用户没有花太长时间的时间。
您对这种系统的安全性有何看法?
A
回答
1
不要这么做
除非这个登录脚本只不过是一个玩具,并且将再也看不到生产环境的光,不这样做。争辩你的观点,原因如下:
- IP变化。即使你的用户有一个静态的IP地址,IP地址也可能被欺骗
- 你是如何计算这些差异的?字符串比较?您不应该将密码存储为纯文本。哈希比较应该是确切的,没有摆动空间。
- 如果我在登录时离开电脑,该怎么办?如果用户一下子忘了该怎么办?如果用户打字真的很糟糕,或者身体残疾并需要花时间怎么办?这里变量太多,登录机制变得不必要的复杂,没有真正的回报。如果有的话,一个“太快”的限制可能会更聪明,以减缓暴力破解密码。
相关问题
- 1. DIV稍微偏离屏幕
- 2. GitLab禁用正规的用户名密码登录,只允许OmniAuth登录
- 3. 验证系统,允许用户稍后添加密码?
- 4. 稍微偏离中心的按钮
- 5. 居中脚本稍微偏离中心
- 6. HashMap的映射值稍微偏离
- 7. EditText显示文字稍微偏离?
- 8. 将div稍微偏离中心
- 9. CSS垂直对齐稍微偏离
- 10. 使用Rails Devise,允许与SAML同时使用用户名/密码登录
- 11. 登录许多用户使用一个用户名和密码
- 12. 登录页面允许任何密码登录PHP
- 13. 如何允许用户使用密码通过SFTP登录,而不是私钥?
- 14. 登录表单允许使用空白的用户名和密码
- 15. 安装BOSH使其允许用户长时间无密码登录?
- 16. RE:登录页面。如何匹配数据库中的用户名和密码以允许用户登录?
- 17. 登录页面。如何匹配数据库中的用户名和密码以允许用户登录?
- 18. 允许root用户登录ftp
- 19. 只允许在用户登录
- 20. 允许Wordpress用户多登录
- 21. 不要允许用户多次登录
- 22. Facebook PHP SDK不允许登录用户
- 23. 允许守护进程用户SSH登录密钥
- 24. 使用用户名/密码登录Instagram
- 25. 允许密码
- 26. 允许用户没有密码?
- 27. 允许用户更改SVN密码
- 28. ;允许用户更改密码?
- 29. 设计,允许用户更改密码
- 30. Openlayers-3 forEachFeatureAtPixel稍微偏移
这可能应该移到http://security.stackexchange.com/ – bartonjs