※ 引述《KyrieIrving1 (King of Dallas)》之銘言：
: 不為人知的工程師內幕
: https://i.imgur.com/8IQl4hC.jpg
: 0_o
: 乾我真的看不懂
: 有沒有工程師能解釋一下XD
不太懂這種設計的必要性
如果是要防機器人暴力破解
設定個密碼錯誤的CD時間就好
比方說密碼錯誤3次鎖1個小時之類的
搭配基本的密碼複雜度要求
應該已經足以擋掉99.99%的暴力破解了
你讓一般正常使用者輸入正確的密碼還騙他說是錯的
這完全是整人啊
話說現在密碼複雜度要求有越來越矯枉過正的感覺
密碼複雜度最扯的有看過要求
12碼以上+大寫字母+小寫字母+數字+特殊符號都要有
然後密碼可能每個月都要換
新換的密碼都不能和前5次相同之類的
造成不少人都會將密碼記在其他地方
反而增加了被盜的風險

只是梗圖 的確沒什麼必要性

搞半天結果直接從最源頭官方資料庫外洩出去

要搞成那樣為什麼不用OTP就好了...

這年頭能從資料庫找到密碼的就算沒被入侵也很危險

所以有人做了一個小遊戲諷刺現在密碼規則一直增加

相反吧?大小寫字母+數字+特殊符號都要有反而是最容易被暴力破解的密碼類型中最不利人記住的把好幾個常用英文單字組成一串全英文三十幾碼密碼可能比12碼大小寫數字符號組合還難被暴力破解又更好記

或是直接OAuth把驗證使用者踢給Google去幹

要你根據規則調整你的密碼 規則越來越搞的

我也覺得直接丟給reCAPTCAH擋機器人不是更快

$$$

其實的確有一派就是高度複雜的密碼並沒有太大意義，但各網站允許的複雜度又不同才是麻煩，有些要求特殊符號，有些則禁止特殊符號...

某方面算是給使用者一個錯覺說你都設那麼複雜的密碼了一定不會被盜 但大部分被盜的情況其實跟密碼被猜到沒什麼關係

那個寫法真的寫下去，會被使用者罵死

nist都不要求密碼過於複雜 比較注重多因子和已知弱密碼的使用 台灣那麼愛抄美國 這個卻不抄

甚麼狗屎密碼規則為什麼搞得這麼複雜，有沒有幫助不知道，但根本原因只有一個"阿合約上就這樣寫"，笑死工程師又不是吃飽太閒

所以圖裡說了啊 "你有病吧"

所有我都用馬眼紋認證，具獨特性，單一性非本人難以辨識，安全層級最高

你以為為什麼合約會這樣寫因為智障長官覺得有用阿XD

因為智障長官覺得有用+1又不是第一次看長官亂指揮把事情搞糟了

以為的資安風險：駭客突破保護機制盜取資料真正的資安風險：點擊連結就送百萬美元

現在駭客都用後面掃描和木馬側錄了，暴力破解太容易被擋住

有專家說過無意義增加複雜性&時限 人們只會每次改一點P@ssw0rd1 P@ssw0rd2 P@ssw0rd3 不會變安全