密码复杂度

1. 问题说明

检查移动客户端 APP 是否对用户输入的密码进行了复杂度检测，禁止用户设置弱口令。如果 APP 没有对输入的密码进行复杂度检测，有些用户图方便会设置弱口令，从而可能导致攻击者通过弱口令爆破用户名的方式进行密码猜解。

2. 测试步骤

检查 APP 是否允许设置弱口令密码，下图就是允许设置弱口令的例子。

而下图的情况就是有密码复杂度检测的。

3. 修复建议

建议在服务器端编写检查密码复杂度的安全策略，并将该策略运用到账号注册，密码修改等需要进行密码变更的场景，以防止攻击者通过弱口令爆破的方式进行暴力猜解。