基于规则评分的密码强度检测算法分析及实现(JavaScript)

简言

用正则表达式作用户密码强度的经过性断定，过于简单粗暴，不但用户体验差，并且用户账号安全性也差。那么如何准确评价用户密码的强度，保护用户账号安全呢？本文分析介绍了几种基于规则评分的密码强度检测算法，并给出了相应的演示程序。你们能够根据本身项目安全性须要，作最适合于本身的方案选择。

1 方案1 （简单）

方案1算法经过密码构成分析，结合权重分派，统计得出密码强度得分。得分越高，表示密码强度越大，也就越安全。方案1算法思想简单，实现容易。

1.1 方案1评分标准

1、密码长度：

• 5 分: 小于等于4 个字符
• 10 分: 5 到7 字符
• 25 分: 大于等于8 个字符

2、字母：

• 0 分: 没有字母
• 10 分: 全都是小（大）写字母
• 20 分: 大小写混合字母

3、数字:

• 0 分: 没有数字
• 10 分: 1 个数字
• 20 分: 大于1 个数字

4、符号:

• 0 分: 没有符号
• 10 分: 1 个符号
• 25 分: 大于1 个符号

5、奖励:

• 2 分: 字母和数字
• 3 分: 字母、数字和符号
• 5 分: 大小写字母、数字和符号

1.2 方案1等级划分

根据密码评分，将密码划分红如下7个等级：

• \>= 90: 很是安全（VERY_SECURE）
• \>= 80: 安全（SECURE）
• \>= 70: 很是强（VERY_STRONG）
• \>= 60: 强（STRONG）
• \>= 50: 通常（AVERAGE）
• \>= 25: 弱（WEAK）
• \>= 0: 很是弱（ VERY_WEAK）

该评分标准及等级划分，实际使用时，可小作调整，但不建议作大的变更。

1.3 方案1演示程序

演示程序

1.4 方案1测试分析

// 评分 25，纯小写字母没法经过验证
console.log("aaaaaaaa".score());
// 评分 45，纯数字没法经过验证
console.log("11111111".score());
// 评分 47，小写+数字没法经过验证
console.log("aa111111".score());
// 评分 45，小写+大写没法经过验证
console.log("aaaaAAAA".score());
// 评分 50，4位密码不可能经过验证
console.log("11!!".score());
// 评分 70，5位密码可经过验证
console.log("0aA!!".score());
// 评分 67，小写+大写+数字可经过验证（8位）
console.log("aA000000".score());
// 评分 70，数字+符号可经过验证
console.log("000000!!".score());

从以上测试结果中，咱们能够看出算法是十分的有效的，基本可以保证密码具备必定的安全性。可是存在的问题也很明显，其中最主要的问题是对重复或连续的字符评分太高。以测试用例中最后一个为例： 000000!! 能够获得70分，但显然并非一个很是强壮的密码。

另外，方案1最高能够获得95分，也就是说没有100分（绝对安全）的密码，这一点也是颇有智慧的设计。

2 方案2

针对方案1中的不足，方案2中引入了减分机制。对于重复出现，连续出现的字符给予适当的减分，以使得密码评分更准确。同时在方案2中密码的评分基数及计算过程都十分的复杂，要想理解其中每一步的含义，请保持足够的耐心。

2.1 方案2加分项

1、密码长度：

• 公式 ：+(n*4)，其中n表示密码长度

2、大写字母：

• 公式：+((len-n)*2)，其中n表示大写字母个数，len表示密码长度

3、小写字母：

• 公式：+((len-n)*2)，其中n表示小写字母个数，len表示密码长度

4、数字：

• 公式：+(n*4)，其中n表示数字个数
• 条件：知足n < len，才能获得加分，len表示密码长度

5、符号：

• 公式：+(n*6)，其中n表示符号个数

6、位于中间的数字或符号：

• 公式：+(n*2)，其中n表示位于中间的数字或符号个数

7、最低条件得分：

• 公式：+(n*2)，其中n表示知足的最低条件条目数
• 条件：只有知足最低条件，才能获得加分

其中最低条件的条目以下：

• 1.密码长度不小于8位
• 2.包含大写字母
• 3.包含小写字母
• 4.包含数字
• 5.包含符号

最低条件要求知足条目1并至少知足条目2-5中的任意三条。

2.2 方案2减分项

1、只有字母：

• 公式：-n，其中n表示字母个数

2、只有数字：

• 公式：-n，其中n表示数字个数

3、重复字符数（大小写敏感）：

该项描述复杂，具体计算方法见以下示例程序：

var pass = "1111aaDD";  //示意密码
var repChar = 0;
var repCharBonus = 0;  //得分
var len = pass.length;
for(var i = 0; i < len; i++) {
    var exists = false;
    for (var j = 0; j < len; j++) {
        if (pass[i] == pass[j] && i != j) {
            exists = true;
            repCharBonus += Math.abs(len/(j-i));
        }
    }
    if (exists) {
        repChar++;
        var unqChar = len - repChar;
        repCharBonus = (unqChar) ? Math.ceil(repCharBonus/unqChar) : Math.ceil(repCharBonus);
    }
}

4、连续大写字母：

• 公式：-(n*2)，其中n表示连续大写字母出现的次数
• 举例：如输入AUB，则n=2

5、连续小写字母：

• 公式：-(n*2)，其中n表示连续小写字母出现的次数
• 举例：如输入aub，则n=2

6、连续数字：

• 公式：-(n*2)，其中n表示连续数字出现的次数
• 举例：如输入381，则n=2

7、正序或逆序字母：

• 公式：-(n*3)，其中n表示连续发生的次数
  • 正序或逆序是指字母表中的顺序
  • 不区分大小写
• 条件：只有连续3个字母或以上，才会减分，
• 例1：如输入ABC，则n=1
• 例2：如输入dcBA，则n=2

8、正序或逆序数字：

• 公式：-(n*3)，其中n表示连续发生的次数
• 条件：只有连续3个数字或以上，才会减分
• 例1：如输入123，则n=1，
• 例2：如输入4321，则n=2
• 例3：如输入12，则不会减分

9、正序或逆序符号：

• 公式：-(n*3)，其中n表示连续发生的次数
• 条件：只有连续3个符号或以上，才会减分

2.3 方案2等级划分

根据密码评分，将密码划分红如下5个等级：

• \>= 80: 很是强（VERY_STRONG）
• \>= 60: 强（STRONG）
• \>= 40: 好（GOOD）
• \>= 20: 弱（WEAK）
• \>= 0: 很是弱（ VERY_WEAK）

2.4 方案2演示程序

演示程序

2.5 方案2测试分析

// 评分 0
console.log("11111111".score());
// 评分 2
console.log("aa111111".score());
// 评分 38
console.log("000000!!".score());
// 评分 76
console.log("Asdf2468".score());
// 评分 76
console.log("Mary2468".score());
// 评分 60
console.log("@dmin246".score());

从以上测试能够看出方案2较方案1有了比较大的改进和提高，尤为是对连续或重复字符上表现出色。可是方案2也存在明显的不足，主要缺点包括对人名（Mary）、单词（Story）、键盘上相连的键（Asdf）、L33T（@dmin）无法识别。

L33T：是指把拉丁字母换成数字或是特殊符号的书写形式。例如把E写成三、A写成@、to写成二、for写成4。

3 方案3 zxcvbn

3.1 简要说明

针对方案2中的不足，引入了方案3，进一步的提长密码强度。方案3彻底引入一个第三方检验工具zxcvbn。

zxcvbn是一个受密码破解启发而来的密码强度估算器。它经过模式匹配和保守估计，大概能够识别大约30K左右的常规密码。主要基于美国人口普查数据，维基，美国电影，电视流行词以及其它一些经常使用模式，像日期，重复字符，序列字符，键盘模式和L33T会话等。

从算法的设计思想上，该方案彻底秒杀基于构成的统计分析方法（前两种方法）。同时zxcvbn支持多种开发语言。因其模式的复杂及字典的存在，当前版本的zxcvbn.js大约有800多K。

要了解项目的详情及算法见zxcvbn官网：

github zxcvbn

3.2 方案3演示程序

演示程序

以上是三胖对密码强度检测算法和方案的理解和分析，不足之处还请你们多多指正！

原文连接