i18n - 国际化和国际化 密码复杂性规则

Question

我目前正在致力于产品的国际化，并且出现了一个问题。 该问题围绕非拉丁语言和复杂字符集国家/地区的密码复杂性要求。

该应用程序使用 aspnet 成员身份进行用户和密码管理，尽管这可能是一个完全不同的问题。 目前，我们的应用程序已设置和代码来容纳 AZ、0-9 和构成密码的特殊字符，但这些很可能需要扩展才能应对其他文化。

我一直在寻找这方面的指导和最佳实践，但到目前为止并没有太多的乐趣。 关于这个问题的最后一篇文章涉及关于这个问题，但并没有真正提供任何指导。

Answer 1

很大程度上取决于访问的安全程度。 对于高安全性，密码方法并不实际，某种生物识别（指纹？）或双因素（SKey？）方法可能更好，特别是与数字 PIN 结合使用时。

这是因为对非西方语言密码进行字典或复杂性分析并不实际。 具体来说：

• 许多语言不区分大小写
• 有些语言用两个、三个或四个字节对字符进行编码
• 对于具有大量表意文字的文化（例如简体字），没有理由在密码中引入数字或标点符号中文）
• 维护大量语言的字典可能不切实际。

对于简单的网站，如果您向浏览器提供非西方语言版本的网站，建议对密码执行更严格的检查。

Answer 2

取决于您想要强制执行的内容。 字典检查和模式识别应该适用于任何编码和语言。 如果你想强制执行流行但任意的规则“大写、小写和数字的混合”，那么，是的，你可能需要找到 A) 一个可以确定任何语言的大小写和数字的库或 API，或者 B) 创建一个愚蠢的大型数据库可以您自己映射该信息。

不过，这种复杂性规则是一种黑客行为。 愚蠢的人会创建愚蠢的密码，无论您任意执行哪种复杂性规则。 密码安全的最佳实践是确保用户必须选择一个不太容易猜测的密码，因此要进行字典检查（不要忘记添加密码创建页面上的所有单词以及与密码相关的所有单词）条目、应用程序或其环境，加上所有可用的用户特定信息（例如出生日期和婚前姓名）和模式匹配（abc123）就可以了。

实际上，我见过很多使用“abc123.-”或类似内容作为 root 密码的情况，因为没有人会想出一个符合复杂性标准的真实密码。

Answer 3

在联系我们公司在中国的海外分公司的技术人员后，我们发现，对于他们使用的大部分需要登录的系统，由于这些原因，他们倾向于坚持使用标准 ASCII 字符集作为用户名和密码。

中文键盘通常与中文字符一起设置 QWERTY，用户可以轻松地在中文和 ASCII 输入法之间切换以登录系统。 目前，我们将保持系统不变，并监控添加的其他培养物，处理可能出现的任何特殊情况。

有关中文输入法的更多信息，请参阅维基百科 - 计算机中文输入法