簡言

用正則表達(dá)式做用戶密碼強(qiáng)度的通過性判定，過于簡單粗暴，不但用戶體驗(yàn)差，而且用戶帳號安全性也差。那么如何準(zhǔn)確評價(jià)用戶密碼的強(qiáng)度，保護(hù)用戶帳號安全呢？本文分析介紹了幾種基于規(guī)則評分的密碼強(qiáng)度檢測算法，并給出了相應(yīng)的演示程序。大家可以根據(jù)自己項(xiàng)目安全性需要，做最適合于自己的方案選擇。

密碼強(qiáng)度檢測算法

1 方案1 （簡單）

方案1算法通過密碼構(gòu)成分析，結(jié)合權(quán)重分派，統(tǒng)計(jì)得出密碼強(qiáng)度得分。得分越高，表示密碼強(qiáng)度越大，也就越安全。方案1算法思想簡單，實(shí)現(xiàn)容易。

1.1 方案1評分標(biāo)準(zhǔn)

一、密碼長度：

• 5 分: 小于等于4 個(gè)字符
• 10 分: 5 到7 字符
• 25 分: 大于等于8 個(gè)字符

二、字母：

• 0 分: 沒有字母
• 10 分: 全都是?。ù螅懽帜?/li>
• 20 分: 大小寫混合字母

三、數(shù)字:

• 0 分: 沒有數(shù)字
• 10 分: 1 個(gè)數(shù)字
• 20 分: 大于1 個(gè)數(shù)字

四、符號:

• 0 分: 沒有符號
• 10 分: 1 個(gè)符號
• 25 分: 大于1 個(gè)符號

五、獎(jiǎng)勵(lì):

• 2 分: 字母和數(shù)字
• 3 分: 字母、數(shù)字和符號
• 5 分: 大小寫字母、數(shù)字和符號

1.2 方案1等級劃分

根據(jù)密碼評分，將密碼劃分成以下7個(gè)等級：

• >= 90: 非常安全（VERY_SECURE）
• >= 80: 安全（SECURE）
• >= 70: 非常強(qiáng)（VERY_STRONG）
• >= 60: 強(qiáng)（STRONG）
• >= 50: 一般（AVERAGE）
• >= 25: 弱（WEAK）
• >= 0: 非常弱（ VERY_WEAK）

該評分標(biāo)準(zhǔn)及等級劃分，實(shí)際使用時(shí)，可小做調(diào)整，但不建議做大的變動。

1.3 方案1演示程序

演示程序

1.4 方案1測試分析

// 評分 25，純小寫字母無法通過驗(yàn)證
console.log("aaaaaaaa".score());
// 評分 45，純數(shù)字無法通過驗(yàn)證
console.log("11111111".score());
// 評分 47，小寫+數(shù)字無法通過驗(yàn)證
console.log("aa111111".score());
// 評分 45，小寫+大寫無法通過驗(yàn)證
console.log("aaaaAAAA".score());
// 評分 50，4位密碼不可能通過驗(yàn)證
console.log("11!!".score());
// 評分 70，5位密碼可通過驗(yàn)證
console.log("0aA!!".score());
// 評分 67，小寫+大寫+數(shù)字可通過驗(yàn)證（8位）
console.log("aA000000".score());
// 評分 70，數(shù)字+符號可通過驗(yàn)證
console.log("000000!!".score());

從以上測試結(jié)果中，我們可以看出算法是十分的有效的，基本能夠保證密碼具有一定的安全性。但是存在的問題也很明顯，其中最主要的問題是對重復(fù)或連續(xù)的字符評分過高。以測試用例中最后一個(gè)為例： 000000!! 可以得到70分，但顯然并不是一個(gè)非常強(qiáng)壯的密碼。

另外，方案1最高可以得到95分，也就是說沒有100分（絕對安全）的密碼，這一點(diǎn)也是很有智慧的設(shè)計(jì)。

2 方案2

針對方案1中的不足，方案2中引入了減分機(jī)制。對于重復(fù)出現(xiàn)，連續(xù)出現(xiàn)的字符給予適當(dāng)?shù)臏p分，以使得密碼評分更準(zhǔn)確。同時(shí)在方案2中密碼的評分基數(shù)及計(jì)算過程都十分的復(fù)雜，要想理解其中每一步的含義，請保持足夠的耐心。

2.1 方案2加分項(xiàng)

一、密碼長度：

• 公式 ：+(n*4)，其中n表示密碼長度

二、大寫字母：

• 公式：+((len-n)*2)，其中n表示大寫字母個(gè)數(shù)，len表示密碼長度

三、小寫字母：

• 公式：+((len-n)*2)，其中n表示小寫字母個(gè)數(shù)，len表示密碼長度

四、數(shù)字：

• 公式：+(n*4)，其中n表示數(shù)字個(gè)數(shù)
• 條件：滿足n < len，才能得到加分，len表示密碼長度

五、符號：

• 公式：+(n*6)，其中n表示符號個(gè)數(shù)

六、位于中間的數(shù)字或符號：

• 公式：+(n*2)，其中n表示位于中間的數(shù)字或符號個(gè)數(shù)

七、最低條件得分：

• 公式：+(n*2)，其中n表示滿足的最低條件條目數(shù)
• 條件：只有滿足最低條件，才能得到加分

其中最低條件的條目如下：

• 1.密碼長度不小于8位
• 2.包含大寫字母
• 3.包含小寫字母
• 4.包含數(shù)字
• 5.包含符號

最低條件要求滿足條目1并至少滿足條目2-5中的任意三條。

2.2 方案2減分項(xiàng)

一、只有字母：

• 公式：-n，其中n表示字母個(gè)數(shù)

二、只有數(shù)字：

• 公式：-n，其中n表示數(shù)字個(gè)數(shù)

三、重復(fù)字符數(shù)（大小寫敏感）：

該項(xiàng)描述復(fù)雜，具體計(jì)算方法見如下示例程序：

var pass = "1111aaDD";  //示意密碼
var repChar = 0;
var repCharBonus = 0;  //得分
var len = pass.length;
for(var i = 0; i < len; i++) {
    var exists = false;
    for (var j = 0; j < len; j++) {
        if (pass[i] == pass[j] && i != j) {
            exists = true;
            repCharBonus += Math.abs(len/(j-i));
        }
    }
    if (exists) {
        repChar++;
        var unqChar = len - repChar;
        repCharBonus = (unqChar) ? Math.ceil(repCharBonus/unqChar) : Math.ceil(repCharBonus);
    }
}

四、連續(xù)大寫字母：

• 公式：-(n*2)，其中n表示連續(xù)大寫字母出現(xiàn)的次數(shù)
• 舉例：如輸入AUB，則n=2

五、連續(xù)小寫字母：

• 公式：-(n*2)，其中n表示連續(xù)小寫字母出現(xiàn)的次數(shù)
• 舉例：如輸入aub，則n=2

六、連續(xù)數(shù)字：

• 公式：-(n*2)，其中n表示連續(xù)數(shù)字出現(xiàn)的次數(shù)
• 舉例：如輸入381，則n=2

七、正序或逆序字母：

• 公式：-(n*3)，其中n表示連續(xù)發(fā)生的次數(shù)
  • 正序或逆序是指字母表中的順序
  • 不區(qū)分大小寫
• 條件：只有連續(xù)3個(gè)字母或以上，才會減分，
• 例1：如輸入ABC，則n=1
• 例2：如輸入dcBA，則n=2

八、正序或逆序數(shù)字：

• 公式：-(n*3)，其中n表示連續(xù)發(fā)生的次數(shù)
• 條件：只有連續(xù)3個(gè)數(shù)字或以上，才會減分
• 例1：如輸入123，則n=1，
• 例2：如輸入4321，則n=2
• 例3：如輸入12，則不會減分

九、正序或逆序符號：

• 公式：-(n*3)，其中n表示連續(xù)發(fā)生的次數(shù)
• 條件：只有連續(xù)3個(gè)符號或以上，才會減分

2.3 方案2等級劃分

根據(jù)密碼評分，將密碼劃分成以下5個(gè)等級：

• >= 80: 非常強(qiáng)（VERY_STRONG）
• >= 60: 強(qiáng)（STRONG）
• >= 40: 好（GOOD）
• >= 20: 弱（WEAK）
• >= 0: 非常弱（ VERY_WEAK）

2.4 方案2演示程序

演示程序

2.5 方案2測試分析

// 評分 0
console.log("11111111".score());
// 評分 2
console.log("aa111111".score());
// 評分 38
console.log("000000!!".score());
// 評分 76
console.log("Asdf2468".score());
// 評分 76
console.log("Mary2468".score());
// 評分 60
console.log("@dmin246".score());

從以上測試可以看出方案2較方案1有了比較大的改進(jìn)和提升，尤其是對連續(xù)或重復(fù)字符上表現(xiàn)出色。但是方案2也存在明顯的不足，主要缺點(diǎn)包括對人名（Mary）、單詞（Story）、鍵盤上相連的鍵（Asdf）、L33T（@dmin）沒法識別。

L33T：是指把拉丁字母換成數(shù)字或是特殊符號的書寫形式。例如把E寫成3、A寫成@、to寫成2、for寫成4。

3 方案3 zxcvbn

3.1 簡要說明

針對方案2中的不足，引入了方案3，進(jìn)一步的提長密碼強(qiáng)度。方案3完全引入一個(gè)第三方檢驗(yàn)工具zxcvbn。

zxcvbn是一個(gè)受密碼破解啟發(fā)而來的密碼強(qiáng)度估算器。它通過模式匹配和保守估計(jì)，大概可以識別大約30K左右的常規(guī)密碼。主要基于美國人口普查數(shù)據(jù)，維基，美國電影，電視流行詞以及其它一些常用模式，像日期，重復(fù)字符，序列字符，鍵盤模式和L33T會話等。

從算法的設(shè)計(jì)思想上，該方案完全秒殺基于構(gòu)成的統(tǒng)計(jì)分析方法（前兩種方法）。同時(shí)zxcvbn支持多種開發(fā)語言。因其模式的復(fù)雜及字典的存在，當(dāng)前版本的zxcvbn.js大約有800多K。

要了解項(xiàng)目的詳情及算法見zxcvbn官網(wǎng)：

github zxcvbn

3.2 方案3演示程序

演示程序

以上是三胖對密碼強(qiáng)度檢測算法和方案的理解和分析，不足之處還請大家多多指正！

原文鏈接