数字密码不允许有重复的数字是个好的设计吗？

密码规则和大部分网站要求不一样，结果就是用户得想个新密码，如果你的服务不是那种高频率刚需，那么这个密码很快就会被用户忘掉，然后要么不用了，要么走繁琐的找回密码，但迟早还是会忘。
比如大部分网站密码长度只要 8 位，那么我对于不重要的网站，就固定一个 8 位密码，反正被盗也无所谓，不重要。但如果突然一个网站要我 11 位密码，那我就得换密码，然后....就没然后了。对网站来说，密码不被盗是很重要的事情，但如果用户自己都记不住，设这个复杂的密码又有何意义。还不如搞 2FA ，让用户自己决定多一层安全保障。

密码根本不需要规则。

限制规则 = 可用密码总数量减少 = 统计数据上，爆破速度更快了

@MarsCloud
如果把指纹,人脸等方式算进来的话,锁屏密码是一个安全性非常高的手段了.
用这样的一个密码+手机短信来维护所有网络信息我觉得也可以接受.

@hdp5252 "什么邮箱，我家里没有啊，要去邮政局吗，年轻人的东西花里胡哨，我搞不懂"

@xubingok 为什么要破解你的锁屏？，拿到你手机直接拔出 sim 卡，插入自动化设备，自动的就把你所有网络账号信息全部破解了，能转账的转账，能买东西的买东西，能借款的借款。

@xubingok 看起来美国的手机贼可不这么认为 https://www.wsj.com/articles/apple-iphone-security-theft-passcode-data-privacya-basic-iphone-feature-helps-criminals-steal-your-digital-life-cbf14b1a

@xausky
讨论的难道不是密码设计问题吗?你这都物理手段了,谁也防不住啊.或者虚拟 SIM 卡可以挡一波?

@hellomynameis
新闻之所以能成为新闻,就是因为其不具备普适性...
再说手机安全的事交给厂商就完事儿了.

银行 App 登录密码设置的麻烦又记不住，而且不能自动添加到系统钥匙库中，所以需要重登录我就重置密码。

大多数网站或软件的要求，包括但不限于以下这些要求。反正对于普通人来说确实是噩梦，所以手机验证码登录的确一定程度上是一种有效且”懒人“的做法，至少可以不用被各个网站的密码要求”绑架“而去强迫输入一些自己根本不会去记的密码规则。

不允许重复数字
不允许连续数字
密码过短
不允许纯数字
需要英文+数字
密码首字母必须大写
需要英文大小写+数字
需要英文大小写+数字+符号
不允许使用纯英文

@Perry 只允许一个数字被重复一次，例如 1122 就不行，刚刚算错了，重新算了下

@NewYear #1
@zpxshl #6

第一，包括手机短信在内的任何 2FA 手段，它们的安全性都不如密码，即使密码已经泄漏成了筛子。2FA 的设计目标就是如此，它是用来作为密码之后的第二道辅助措施（为了便利性，2FA 连多重密码都算不上），不是用来替代密码的。

第二，手机短信是 2FA 措施当中，最不安全的那个，技术上和社工上，断行验证码都非常容易被突破，就是个渣滓。

第三，你们要的是免密登录，而现行免密登录措施，不管是传统的加密狗、U 盾，还是现行国外流行的 Microsoft Authenticator 及各种 FIFO ，还有国内流行的刷脸，本质上都是物理密钥，而物理密钥的本质是超长位、不可轻易复制的密码。这还是密码，只不过只能用物理介质输入，不用也不允许你手动输入而已。（注意：Windows Hello ，手机指纹解锁这些，是本地 pin ，不是网络登录，不再讨论范围内。）

最后请切记：便利和安全，不可兼得。

暴露规则不是替攻击做排除法吗

@xubingok 传统的密码或者密码管理器可以防住呀，有主密码加密，不依赖硬件，无法物理破解，sim 卡真的很不安全

不好，和密码必须要包含大小写字母、数字和特殊字符一样。完全脑瘫设计，就像住进一个小区，物业规定家里大门必须用三层的防弹合金大门，否则不让搬进来。结果等搬进去了，他妈是个小偷就能从窗口翻进来把家偷光。

还有更麻烦的，强制要求第一位大写，第二位小写，然后 6 位数字

@nothingistrue 你是说 TOTP 吧

大部分搞安全的人懂个屁的安全

id 很熟啊