这是禁用用户创建密码的好习惯吗？

Question

我正在开发一个 Intranet 站点，需要选择两种方式之一： 1. 当用户可以将密码更改为他喜欢的任何单词时禁用选​​项，例如 pass123。这样就会有一个按钮使用一些复杂的算法生成新密码，然后用户接受它的使用。 2. 制定标准密码修改功能。这样用户可以输入他喜欢的任何密码并保存。 谢谢。

Answer 1

如果是 Intranet 站点，则身份验证通常应通过 LDAP 处理，而不是显式密码输入。

Answer 2

我想说，如果您只为用户提供一个生成新密码的按钮，那么他就不能在每个站点上使用相同的密码。

Answer 3

如果您有密码强度策略，请在用户选择新密码时在表单上明确说明，如果密码强度不够，则不要接受新密码（选项 1）。

Answer 4

这仅取决于您希望网站的安全程度。

如果您允许他们更改自己的密码，那么我建议您使用某种“密码强度”视觉辅助工具来帮助他们选择一个强密码。那么也许只有强密码除外。

只允许他们将密码更改为由复杂算法生成的另一个密码可能会导致他们不记得它，但是这样您就可以始终依靠强密码。通过电子邮件向他们发送密码意味着他们不必将密码写在某处，即使写下了密码，它也会安全地隐藏在他们的电子邮件登录后面。