设法查明任何与密码强度有关的规则。
(1)浏览该Web站点,查找任何描述上述规则的内容。
(2)如果可以进行自我注册,用不同种类的脆弱密码注册几个账户,了解应用程序采用何种规则。
(3)如果拥有一个账户并且可以更改密码,试着把密码更改为各种脆弱密码。
注解 如果应用程序仅通过客户端控件实施密码强度规则,这本身并不是一个安全问题,因为普通用户仍然受到保护。虽然诡计多端的攻击者可为自己分配脆弱密码,但这通常并不会给应用程序造成威胁。