用户期望和 unicode 规范化

Question

这是一个有点软的问题，请随时告诉我是否有更好的地方。

我正在开发一些接受需要国际字符的密码的代码 - 因此我需要将输入的 unicode 字符串与存储的 unicode 字符串进行比较。很容易。

我的问题是 - 国际字符集的用户通常期望在这种情况下标准化吗？我的 Google 搜索显示，从“总是这样做”(http://unicode.org/faq/normalization.html) 到“别打扰”之间存在一些意见冲突。不正常化有什么优点/缺点吗？ （即，不太可能猜测密码等）

Answer 1

我建议，如果您的密码字段接受 Unicode 输入（大概是 UTF-8 或 UTF-16），请在散列和比较之前对其进行规范化。如果您没有对其进行标准化，并且人们从不同的系统（不同的操作系统，或者不同的浏览器，如果它是网络应用程序，或者具有不同的区域设置）访问它，那么您可能会得到用不同的标准化表示的相同密码。这意味着您的用户将输入正确的密码，但密码被拒绝，并且原因并不明显，他们也没有任何方法可以修复它。

Answer 2

我不会打扰有几个原因：

1. 你会让事情变得不那么安全。如果两个或多个字符在数据库中都表示为同一事物，则意味着该站点可能的密码较少。 （尽管这可能不是什么大问题，因为可能的密码数量相当大。）
2. 您将在程序中构建代码来完成复杂的工作，这些工作（可能）是您没有编写的库的一部分。 .最终有人将无法登录。我认为最好让事情保持简单，并相信使用不同字符集的人知道如何正确输入它们。也就是说，我从未以国际密码形式实现过此功能，因此我无法告诉您标准设计模式是什么。