※ 引述《KyrieIrving1 (King of Dallas)》之铭言：
: 不为人知的工程师内幕
: https://i.imgur.com/8IQl4hC.jpg
: 0_o
: 干我真的看不懂
: 有没有工程师能解释一下XD
不太懂这种设计的必要性
如果是要防机器人暴力破解
设定个密码错误的CD时间就好
比方说密码错误3次锁1个小时之类的
搭配基本的密码复杂度要求
应该已经足以挡掉99.99%的暴力破解了
你让一般正常使用者输入正确的密码还骗他说是错的
这完全是整人啊
话说现在密码复杂度要求有越来越矫枉过正的感觉
密码复杂度最扯的有看过要求
12码以上+大写字母+小写字母+数字+特殊符号都要有
然后密码可能每个月都要换
新换的密码都不能和前5次相同之类的
造成不少人都会将密码记在其他地方
反而增加了被盗的风险

只是梗图 的确没什么必要性

搞半天结果直接从最源头官方数据库外泄出去

要搞成那样为什么不用OTP就好了...

这年头能从数据库找到密码的就算没被入侵也很危险

所以有人做了一个小游戏讽刺现在密码规则一直增加

相反吧?大小写字母+数字+特殊符号都要有反而是最容易被暴力破解的密码类型中最不利人记住的把好几个常用英文单字组成一串全英文三十几码密码可能比12码大小写数字符号组合还难被暴力破解又更好记

或是直接OAuth把验证使用者踢给Google去干

要你根据规则调整你的密码 规则越来越搞的

我也觉得直接丢给reCAPTCAH挡机器人不是更快

$$$

其实的确有一派就是高度复杂的密码并没有太大意义，但各网站允许的复杂度又不同才是麻烦，有些要求特殊符号，有些则禁止特殊符号...

某方面算是给使用者一个错觉说你都设那么复杂的密码了一定不会被盗 但大部分被盗的情况其实跟密码被猜到没什么关系

那个写法真的写下去，会被使用者骂死

nist都不要求密码过于复杂 比较注重多因子和已知弱密码的使用 台湾那么爱抄美国 这个却不抄

什么狗屎密码规则为什么搞得这么复杂，有没有帮助不知道，但根本原因只有一个"阿合约上就这样写"，笑死工程师又不是吃饱太闲

所以图里说了啊 "你有病吧"

所有我都用马眼纹认证，具独特性，单一性非本人难以辨识，安全层级最高

你以为为什么合约会这样写因为智障长官觉得有用阿XD

因为智障长官觉得有用+1又不是第一次看长官乱指挥把事情搞糟了

以为的资安风险：骇客突破保护机制盗取资料真正的资安风险：点击连结就送百万美元

现在骇客都用后面扫描和木马侧录了，暴力破解太容易被挡住

有专家说过无意义增加复杂性&时限 人们只会每次改一点P@ssw0rd1 P@ssw0rd2 P@ssw0rd3 不会变安全