我想要一个密码策略,该密码策略受大多数密码管理器和生成器(如LastPass和chrome的密码生成器)支持。
保持注册和登录尽可能简单,遵循网络可访问性准则,并且没有密码政策。
Bruce Schneider总结了最新的NIST密码最佳做法。https://www.schneier.com/blog/archives/2017/10/changes_in_pass.html
没有密码规则,它们只会干扰生成的密码。NIST:“不要对记忆的秘密强加其他构成规则(例如,不同字符类型的混合)。”NIST:“鼓励用户使用他们喜欢的任何字符(包括空格)来尽可能长地存储所记住的秘密,从而有助于记忆。”NIST:“至少允许使用64个字符,以支持密码短语的使用。”不要使密码过期。NIST:“除非存在用户请求或证明身份受损的证据,否则不要随意(例如,定期)更改存储的机密。”确保您与密码管理器兼容。最后一个意味着对注册和登录不做任何特殊的事情。基本上遵循网络可访问性准则。
将HTML表单与标准输入配合使用用 使用文本或电子邮件类型输入用户名使用密码类型作为密码输入明显的名称NIST:“在字段中支持复制和粘贴功能,用于输入存储的秘密(包括密码短语)。”不要动态更改表格请勿更改名称和ID确保表单在页面加载时呈现并使用一些流行的密码管理器测试您的注册和登录。不要忘记手机!
也可以看看
1密码的建议https://support.1password.com/compatible-website-design/让密码管理器与您的登录表单配合使用https://hiddedevries.nl/en/blog/2018-01-13-making-password-managers-play-ball-with-your-login-form开发人员的Web无障碍https://www.wuhcag.com/NIST特殊出版物800-63B数字身份准则认证和生命周期管理第10.2.1节“存储的秘密”https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-63b.pdf
