内网最好不要检测弱密码 #860

canoziia · 2023-09-14T15:33:34Z

感觉内网检测弱密码不是很必要，而且现在的情况是禁止内网时，可以不进行验证，但是不可以弱密码，有点怪。或者加一个跳过检测弱密码的选项，并且给个警告？

内网设置简单密码时不允许保存

No response

jeessy2 · 2023-09-15T07:07:42Z

内网也有可能被扫。。你想被扫？

canoziia · 2023-09-15T07:09:55Z

内网也有可能被扫。。你想被扫？

如果别人已经在内网扫了，那密码还有意义吗

jeessy2 · 2023-09-15T07:14:24Z

有意义，防止被爆破

jeessy2 · 2023-09-15T07:17:03Z

亲身经历，其它项目存在漏洞，被上传木马，内网被攻破后，会继续扫内网其它弱口令机器

canoziia · 2023-09-15T07:20:16Z

大概明白了，但是现在内网好像还可以允许空账号密码？如果是这样的话是不是应该考虑内网也必须设置密码

jeessy2 · 2023-09-15T07:22:35Z

允许，如果是进行“修改密码”、“设置通过命令获取”，会强制要求启动时间在五分钟内

canoziia added the enhancement New feature or request label Sep 14, 2023

canoziia closed this as completed Sep 24, 2023

jeessy2 mentioned this issue Jan 10, 2024

feat: Reduce password strength verification when using on the intranet #966

Merged

Provide feedback