TwitterとFacebookがサインアップ時にパスワードの複雑さを強制しないのはなぜですか?
スマートフォンを使用してアカウントを作成しようとした場合、これらのプラットフォームには強力なパスワード要件がないようです。どちらも最低6文字の制限を課し、それ以外は何もしません(ただし、Twitterは111111のような特定のパスワードを除外しているようですが、これはFacebookでの正規のパスワードです)。
大文字、小文字、数字、記号などの厳格なルールを適用すると、ユーザーが不満を感じ、パスワードを覚えにくくなることが理解できます。ただし、現在のパスワード検証(またはその欠如)の方が適切な選択であるとは思いません。
これらのアプリが前述のガイドラインを適用しないのはなぜですか?今、新しいアプリを作成している場合、この問題にどのように取り組むべきですか?
FacebookとTwitterには、非常に特定の、物議を醸すセキュリティ体制があります。彼らは幅広い市場にサービスを提供しており、セキュリティスペースは彼らが行うすべてのことを常に感謝しているわけではありません。あなたが構築しているアプリに対する私の推奨は、セキュリティの観点からFacebookとTwitterの例に従うことではないかもしれません。
リソースについては、まず [〜#〜] owasp [〜#〜] を参照することをお勧めします。 OWASPに慣れていない場合は、OWASPはアプリケーションのセキュリティメソッドとベストプラクティスのコレクションであり、概念と設計からテストまでのライフサイクル全体を可視化します。彼らはappsec業界をリードしており、膨大な(十分な)権威と話をしています。
そうは言っても、OWASPの パスワード強度コントロール に関する情報を必ず確認してください。パスワード強度の実装に関するヘルプを探しているなら、うまくいけばうまくいくはずです。 (そして、あなたがそこにいる間、アプリの構築に関して他の役立つヒントについては OWASPトップ1 をご覧ください。)
ところで素晴らしい質問です。アプリで頑張ってください!