数字密码不允许有重复的数字是个好的设计吗？

这个规则是双刃剑。

现在各种 APP/网站，要求的规则都不一样，于是普通人要记很多密码。回头就忘记了。别说什么密码管理器，我说的是大多数普通人。

所以手机号验证短信作为反而是更好的方案。

@NewYear #1 如果依赖于机号验证短信，那么锁屏密码就变成了唯一的密码了；
之前思考过一种情况，如果能够拦截一个人的短信，那么是否这个人所有的网络信息都可以被窃取到。

数字完全不允许重复是把风控完全抛给用户的粗暴设计。 根本不在乎用户能不能记得住，也不在乎用户找额外的手段例如手写 备忘录 app 等方式造成的泄漏高风险。 面对用户质疑他们只会回应“我们要求密码足够复杂了，你记不住你泄漏了责任是你”

很显然对不同的操作有不同的风控等级，直接让用户所有操作都走最高置信度的验证是不必要而且增加泄漏风险的。密码 短信 人脸识别。多种方式根据不同风控等级组合使用才是正解

不放回抽取，如果知道这个规则岂不是更好破解

@MarsCloud 相比漫天遍野的密码泄露，短信反而是比较安全的

天天琢磨这个不如想想怎么赶紧支持 passkey

@MarsCloud #2 手机端防一下伪基站这个问题会得到不少缓解，如果没有的话，你说的这个风险确实挺大。

“如果不允许一个数字被设置 3 次或以上呢，密码组合有多少”

你的计算是不是默认了只有一个数字被重复 2 次？允不允许多个数字重复 2 次？

光从排列组合的数量来讲，并不是能允许的密码数量越多越就越安全。

一个禁止 123456 和 654321 的系统会比不禁止的安全，因为这两密码太常用了。

任何透露密码相关规则的信息都会使密码暴力破解变得更容易

其实也还好, 如果是证劵 APP, 正常都是直接起一个超级变态密码, 然后短信登录.

相当于变相阉割密码, 跟政府网站差不多.

四位或者 6 位数字，人为减少概率就不是一个好主意。本来是 10*10*10*10 ，强行改为 10*9*8*7.

如果是简单密码的，所有四位数字都是简单密码，1234 算不算，5678 算不算。

不会就抄，学手机锁屏加上失败等待时间。

这应该是初中数学题吧

鸡蛋不要放同一个篮子，正常的密码强度要求+强制二步验证普通但实用

强烈反对手机短信 用邮箱就很好 只要你邮箱够安全

@hdp5252 登录邮箱不一样要输密码，而且邮箱被入侵了丢的东西更严重，比如设置了自动转发到盗号者信箱

其实划线密码就相当于九宫格数字不允许重复

短信验证码也太费钱了……我们推荐微信扫码登录

@NewYear 手机一停机不就完蛋了