1. Accueil
  2. Question et réponse
  3. Bibliothèque de vérification de la force du mot de passe

Bibliothèque de vérification de la force du mot de passe

2010-07-08 3 views
53

Quelqu'un peut-il recommander une bibliothèque Java qui contient des méthodes appropriées pour effectuer la vérification de la force du mot de passe côté serveur dans une application Web. Idéalement, le vérificateur doit être:Bibliothèque de vérification de la force du mot de passe

  • configurable, ce qui permet déployeur de fournir différents dictionnaires, ajuster les poids des différents critères, et ainsi de suite
  • extensible permettant de nouveaux critères à mettre en œuvre si nécessaire
  • mis en œuvre en Java
  • pas fondamentalement liée à une bibliothèque de balises, les composants de l'interface utilisateur ou « gestion de mot de passe » fonctionnalité
  • compatible avec un projet GPL 3
  • compatible avec Spr câblage ing
  • mavenized (idéalement disponible via Maven Central)

Source

2010-07-08 Stephen C

+0

vous pourriez trouver ce poste utile - http://stackoverflow.com/questions/75057/what-is-the-best-way-to-check-the-strength-of-a-password –

+1

Ceci pourrait être simple mais peut être utile https://github.com/devewm/java-pwdstrength –

+0

En cherchant la bibliothèque, j'ai trouvé un [port java] (https://github.com/nulab/zxcvbn4j) de la bibliothèque JavaScript [zxcvbn] (https://blogs.dropbox.com/tech/2012/04/zxcvbn-realistic-password-strength-estimation/). Il ne vérifie pas les règles mais calcule l'entropie du mot de passe en tenant compte de la liste des mots de passe les plus courants. Il n'a pas de dépendances. C'est dans Maven Central. Il a une licence MIT. –

Répondre

64

Jetez un oeil à vt-password:

  • configurable, ce qui permet déployeur de fournir différents dictionnaires, ajuster les poids des critères différents, etc. - Partiellement (oui à configurable, dictionnaires, critères non pondérés)
  • extensible permettant d'implémenter de nouveaux critères si nécessaire - Oui
  • mis en œuvre en Java - Oui (et javadoc décent)
  • pas fondamentalement liée à une bibliothèque de balises, les composants de l'interface utilisateur ou "gestion de mot de passe" fonctionnalité - Oui
  • compatible avec un projet GPL 3 - Oui (LGPLv3/APLv2 double licence de Novembre 2013)
  • compatible avec le câblage Spring - On dirait
  • mavenized (throug idéalement disponible h Maven Central) - Oui (dans le centre depuis la version 3,0)

mise à jour par @Stephen C.

Les gars qui font vt mot de passe ont fait un certain nombre d'améliorations de l'API depuis le À l'origine, la question a été résolue, et l'un des résultats est que les classes sont beaucoup plus faciles à configurer à l'aide de Spring IoC. Ils ont également téléchargé à Maven Central: http://mvnrepository.com/artifact/edu.vt.middleware/vt-password

Source

2010-07-08 03:43:02

+2

Bien que je ne me soucie pas de ce sujet (en ce moment), quelle bonne réponse. +1 –

+0

Excellent! Merci! –

+0

@Stephen: De rien. @Daniel: Merci, content que vous le trouviez (potentiellement) utile aussi. –

10

C'est une réponse de suivi à dire que je l'ai fait utilisation vt mot de passe, et je suis heureux avec les résultats.

J'ai commencé avec la version 2.0 de vt-password et je l'ai piraté un peu pour l'utiliser avec le câblage Spring, et résoudre les problèmes de sécurité des threads auxquels j'ai fait allusion dans la réponse de @ Pascal. C'était assez pour continuer.

Il y a quelques semaines, l'équipe vt-middleware a publié vt-password 3.0, basé (en petite partie) sur mes commentaires concernant 2.0.Cette nouvelle version a abordé tous les problèmes que j'avais piratés, et j'ai maintenant abandonné mes mods locaux et j'utilise vt-password 3.0 tel quel. Ils ont également téléchargé leurs fichiers sur Maven Central et amélioré la documentation en ligne.

Source

2010-12-09 06:54:24

+0

comment avez-vous réussi à utiliser vt-mot de passe pour calculer les points forts du mot de passe? Je ne vois rien qui vous permettrait de pondérer des critères différents ou de récupérer une mesure de "force" lors de la validation. Ou avez-vous laissé tomber cette exigence? Je pense que je pourrais exécuter la validation plusieurs fois avec des valeurs différentes pour les règles et trouver une force, mais cela semble surement exagéré. – Tauren

+0

@Tauren - en fait, j'ai abandonné cette exigence. –

+0

Eh bien, j'espérais que vous avez trouvé une solution simple. J'ai également abandonné cette exigence. Peut-être que je vais aborder la force du mot de passe à l'avenir. – Tauren

Questions connexes

 Questions connexes