ASPNET安全性高级编程 第五章 实现密码策略
2007-04-09 14:09
441 查看
1. 选取密码的最好方法是把A-Z a-z 0-9 之间的字符和几个特殊字符进行随机组合
2 密码的最小长度6-7位(服务器端自定义验证程序)
实例代码
private void CustomValidator1_ServerValidate(object source, System.Web.UI.WebControls.ServerValidateEventArgs args)
{
string strPwd=args.Value;
if(validateLength(strPwd)==false)
{
args.IsValid=false;
err.Text="The length of the password should be at least 7 characters";
}
else{
args.IsValid=true;
err.Text="";
}
}
bool validateLength(string sPWD){
//Check the length of the password
if(sPWD.Length<6)
{
return false;
}
else{
return true;
}
}
3 混合大小写的密码
4 对数字和特殊字符的支持
不要支持那些能用于脚本攻击的字符
提示:利用正则表达式是限定密码最好的办法
演示代码
bool validateMixedCase2(String sPWD){
bool foundLower,foundUpper,foundNumeric,foundSymbol;
foundLower=false;
foundUpper=false;
foundNumeric=false;
foundSymbol=false;
for(int i=0;i<sPWD.Length;i++){
if(foundLower==false){
foundLower=isLower(sPWD[i]);
}
if(foundUpper==false){
foundUpper=isUpper(sPWD[i]);
}
if(foundNumeric==false)
{
foundNumeric=isNumeric(sPWD[i]);
}
if(foundSymbol==false)
{
foundSymbol=isSpecialCharacter(sPWD[i]);
}
}
if(foundLower==true&&foundUpper==true&&foundNumeric==true&&foundSymbol==true)
{
return true;
}
else{
return false;
}
}
bool isLower(char ch){
//构造isLower
if(ch>='a'&&ch<='z')
{
return true;
}
else{
return false;
}
}
bool isUpper(char ch){
if(ch>='A'&&ch<='Z')
{
return true;
}
else{
return false;
}
}
bool isNumeric(char ch){
//检测数字构造函数
if(ch>='0'&&ch<='9')
{
return true;
}
else{
return false;
}
}
bool isSpecialCharacter(char ch){
//构造检测特殊字符构造函数
if(ch=='!')
return true;
else if(ch=='@')
return true;
else if(ch=='#')
return true;
else if(ch=='$')
return true;
else if(ch=='^')
return true;
else if(ch=='*')
return true;
else if(ch=='?')
return true;
else if(ch=='/')
return true;
else if(ch=='//')//Watch for the special character
return true;
else
return false;
}
private void Button1_Click(object sender, System.EventArgs e)
{
if(validateMixedCase2(name.Text.Trim())==true)
{
err.Text="";
}
else{
err.Text="请使用大小写字母数字特殊字符组合";
}
}
5 对新密码进行字典检查
字典破解就是所谓的蛮力破解他还可以假冒HTTP POST方法来发送数据
6 密码更新
我们建议用户应该经常更新自己的密码比如每三个月更新一次,我们可以把用户ID 用户名 密码 最近一次被更新的密码和被缩定的时间戳存储在一个简单的表中 当我们对用户进行身份验证时,可以检查时间戳.如果时间戳和当前时间之间的间隔大于一个指定的时间周期,我们就可以强制用户更改他们的密码.
在更新新密码时和最近使用的3个密码进行比较
一定保证您所存储的密码是散列或者加密密码
7 为用户生成随机密码
在创建用户或忘记密码时
演示代码:
private void Button1_Click(object sender, System.EventArgs e)
{
Random Rd=new Random();
pass.Text=Convert.ToString(Rd.Next());
}
8帮助忘记密码的用户
(1)以电子邮件的方式向用户发送密码
为一个帐户分配一个新的随机密码 并把密码以电子邮件的方式发送
也可以在用户表中创建一个用为NeedToChangePassword的新列 把他的实质为 True在用户第一次登录时必须要更改这个密码
(2)以电子邮件的方式发送"更改密码的"链接
生成一个新的随机号或GUID(全局唯一标示符)并作为URL的一部分传递给用户
9 防止蛮力攻击
程序只接受3次错误密码,发现这种情况后,我们可以把Locked列设置为true并设置LockedTimeStamp对用户进行锁定然后我们可以显示一条消息告知用户5分钟内他们不能尝试再次登录
当下次用户登录时检查他的时间差,如果时间差超过5分钟则处理这个用户的身份验证请求,如果下于5分钟,则向这个用户发送一个电子邮件,告诉他们有人试图闯入系统,而他们的帐户将被临时锁定.
2 密码的最小长度6-7位(服务器端自定义验证程序)
实例代码
private void CustomValidator1_ServerValidate(object source, System.Web.UI.WebControls.ServerValidateEventArgs args)
{
string strPwd=args.Value;
if(validateLength(strPwd)==false)
{
args.IsValid=false;
err.Text="The length of the password should be at least 7 characters";
}
else{
args.IsValid=true;
err.Text="";
}
}
bool validateLength(string sPWD){
//Check the length of the password
if(sPWD.Length<6)
{
return false;
}
else{
return true;
}
}
3 混合大小写的密码
4 对数字和特殊字符的支持
不要支持那些能用于脚本攻击的字符
提示:利用正则表达式是限定密码最好的办法
演示代码
bool validateMixedCase2(String sPWD){
bool foundLower,foundUpper,foundNumeric,foundSymbol;
foundLower=false;
foundUpper=false;
foundNumeric=false;
foundSymbol=false;
for(int i=0;i<sPWD.Length;i++){
if(foundLower==false){
foundLower=isLower(sPWD[i]);
}
if(foundUpper==false){
foundUpper=isUpper(sPWD[i]);
}
if(foundNumeric==false)
{
foundNumeric=isNumeric(sPWD[i]);
}
if(foundSymbol==false)
{
foundSymbol=isSpecialCharacter(sPWD[i]);
}
}
if(foundLower==true&&foundUpper==true&&foundNumeric==true&&foundSymbol==true)
{
return true;
}
else{
return false;
}
}
bool isLower(char ch){
//构造isLower
if(ch>='a'&&ch<='z')
{
return true;
}
else{
return false;
}
}
bool isUpper(char ch){
if(ch>='A'&&ch<='Z')
{
return true;
}
else{
return false;
}
}
bool isNumeric(char ch){
//检测数字构造函数
if(ch>='0'&&ch<='9')
{
return true;
}
else{
return false;
}
}
bool isSpecialCharacter(char ch){
//构造检测特殊字符构造函数
if(ch=='!')
return true;
else if(ch=='@')
return true;
else if(ch=='#')
return true;
else if(ch=='$')
return true;
else if(ch=='^')
return true;
else if(ch=='*')
return true;
else if(ch=='?')
return true;
else if(ch=='/')
return true;
else if(ch=='//')//Watch for the special character
return true;
else
return false;
}
private void Button1_Click(object sender, System.EventArgs e)
{
if(validateMixedCase2(name.Text.Trim())==true)
{
err.Text="";
}
else{
err.Text="请使用大小写字母数字特殊字符组合";
}
}
5 对新密码进行字典检查
字典破解就是所谓的蛮力破解他还可以假冒HTTP POST方法来发送数据
6 密码更新
我们建议用户应该经常更新自己的密码比如每三个月更新一次,我们可以把用户ID 用户名 密码 最近一次被更新的密码和被缩定的时间戳存储在一个简单的表中 当我们对用户进行身份验证时,可以检查时间戳.如果时间戳和当前时间之间的间隔大于一个指定的时间周期,我们就可以强制用户更改他们的密码.
在更新新密码时和最近使用的3个密码进行比较
一定保证您所存储的密码是散列或者加密密码
7 为用户生成随机密码
在创建用户或忘记密码时
演示代码:
private void Button1_Click(object sender, System.EventArgs e)
{
Random Rd=new Random();
pass.Text=Convert.ToString(Rd.Next());
}
8帮助忘记密码的用户
(1)以电子邮件的方式向用户发送密码
为一个帐户分配一个新的随机密码 并把密码以电子邮件的方式发送
也可以在用户表中创建一个用为NeedToChangePassword的新列 把他的实质为 True在用户第一次登录时必须要更改这个密码
(2)以电子邮件的方式发送"更改密码的"链接
生成一个新的随机号或GUID(全局唯一标示符)并作为URL的一部分传递给用户
9 防止蛮力攻击
程序只接受3次错误密码,发现这种情况后,我们可以把Locked列设置为true并设置LockedTimeStamp对用户进行锁定然后我们可以显示一条消息告知用户5分钟内他们不能尝试再次登录
当下次用户登录时检查他的时间差,如果时间差超过5分钟则处理这个用户的身份验证请求,如果下于5分钟,则向这个用户发送一个电子邮件,告诉他们有人试图闯入系统,而他们的帐户将被临时锁定.
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- ASPNET安全性高级编程 第九章 窗体身份验证
- ASPNET安全性高级编程 第十章 扩展窗体身份验证
- UNIX环境高级编程学习之第五章标准IO-实现查看所有用户
- 域策略+脚本实现客户端administrator帐号密码统一
- C语言编程中实现输入密码回显星号
- 廖雪峰Python教程1轮还没学明白的(2) -- 面向对象高级编程 -- 定制类 -- 实现Fib数列的__getitem__()/切片方法
- UNIX环境高级编程学习之第十五章进程间通信 - 通过匿名管道实现父子进程同步
- UNIX环境高级编程学习之第十五章进程间通信 - 通过有名管道(命名管道)实现进程间通信
- 实现cp函数(UNIX环境高级编程课后题)
- Hadoop高级编程—构建与实现大数据解决方案pdf
- 20180406-使用Java实现数据库编程-第五章事务、索引、视图、备份和恢复
- UNIX环境高级编程学习之第六章系统数据文件和信息-实现uid to name
- 提升Oracle用户密码安全性的策略
- 1 android高级编程——程序启动动画的实现
- js高级编程------------使用prototype仿java对象实现表单验证
- C#编程 忘记密码功能的实现方法
- 怎么用VC编程实现把用户名,密码提交到网页上并且实现登录?
- Android编程实现打勾显示输入密码功能
- Python高级编程-如何实现反向迭代?
- 高级编程作业 第五章