项目背景
第三方安全白帽公司乌云扫描网站漏洞发现帐户安全等级比较低,我作为用户中心产品负责人,发起了提高密码安全的项目。项目团队成员有后端,前端,测试,风控,耗时半个月完成密码安全升级改造并上线,乌云再次扫描后的帐户安全等级明显提高。
项目方案
1. 从6位密码改为8位
2. 从可以全数字改为数字+字母
3. 增加密码强弱等级机制和更多安全提示
4. 增加密码防撞库
密码强度升级方案
1. 密码长度最小值:8位 。
2. 密码必须包含字母和数字。
3. 字母由至少一个大写和小写组合。
4、密码中不包含有连续3位及以上顺序(或逆序)数字;(如:密码中不包含123或321等)。
5、密码中不包含有连续3位及以上顺序(或逆序)字母,字母区分大小写;(如:密码中不包含abc或ABC等)。
6、密码中不包含有连续3位及以上重复字符(含:大写字母、小写字母、数字),字母区分大小写;(如:密码中不包含888、999、aaa 或AAA等3位及以上的重复字符)。
7、不将帐号名作为密码的一部分存在于密码中;(如:用户帐号名为13848596874,密码不允许设置为***13848596874****)。
8、禁忌词区分大小写不作为密码的一部分存在于密码中;(如:admin, pass,password)。
[弱密码]满足1+2,不满足3
[中密码]满足1+2+3
[强密码]满足1+2+3+4+5+6+7+8
收获很大