La domanda dice tutto. Stiamo progettando un sistema in cui la sicurezza è molto importante. Una delle idee che qualcuno aveva era di costringere gli utenti a cambiare password ogni 3 mesi. La mia opinione è che, sebbene sia più sicuro perché la password cambia spesso, costringe anche i nostri utenti a ricordare di aver cambiato password e rende più possibile che la scriveranno da qualche parte per ricordare.
Nella stessa idea è davvero bello costringere gli utenti a usare una password super difficile da indovinare. Forzali a usare?% &% E lettere minuscole maiuscole. So che è abbastanza seccante inventare una tale password e poi ricordarla.
Quindi non vogliamo che nessuno usi 12345.
Così. Ci sono dei white paper su questo argomento? Buona pratica?
Sto parlando di un sito web creato con PHP. MySQL in un ambiente lampada se questo cambia qualcosa.