密码安全那些坑：为什么你的正则表达式可能漏掉键盘连续字符？

密码安全进阶：如何用正则表达式堵住键盘连续字符的漏洞？

当我们在设计密码策略时，常常会关注密码长度、字符多样性等基本要求，却忽略了一个关键的安全隐患——键盘连续字符。这类密码看似复杂，实则极易被破解工具识别。本文将深入探讨如何通过正则表达式检测这类安全隐患，构建更完善的密码校验机制。

1. 键盘连续字符：被忽视的安全盲区

键盘连续字符是指密码中包含键盘上相邻按键组成的序列，例如"qwerty"、"123456"或"asdfgh"。这类密码看似随机，实则遵循了键盘布局的物理规律，成为黑客破解的首选目标。

为什么键盘连续字符如此危险？

• 暴力破解效率高：破解工具可以优先尝试键盘连续组合，大幅缩短破解时间
• 用户记忆负担低：这类密码容易记忆，导致重复使用风险
• 通过常规校验：多数密码策略只检查字符类型，无法识别这种模式

常见的键盘连续模式包括：

• 水平连续（如"qwer"）
• 垂直连续（如"1qaz"）
• 对角线连续（如"1qaz2wsx"）

2. 基础密码校验的局限性

大多数系统采用的基础密码校验规则类似这样：

export const basicCheck = (value) => { const regexp = new RegExp( "^(?![A-Za-z0-9]+$)(?![a-z0-9\\W]+$)(?![A-Za-z\\W]+$)(?![A-Z0-9\\W]+$)[a-zA-Z0-9\\W]{8,20}$" ); return regexp.test(value); }

这种校验虽然确保了密码包含多种字符类型，但存在明显缺陷：

3. 键盘连续字符检测实现方案

3.1 基于坐标系的检测算法

我们可以将键盘布局抽象为二维坐标系，通过计算字符间的相对位置识别连续模式：

const isKeyboardContinuous = (str) => { // 定义QWERTY键盘各行的字符坐标 const keyboardRows = [ ['1','2','3','4','5','6','7','8','9','0','-','='], ['q','w','e','r','t','y','u','i','o','p','[',']','\\'], ['a','s','d','f','g','h','j','k','l',';','\''], ['z','x','c','v','b','n','m',',','.','/'] ]; // 转换为小写统一处理 const chars = str.toLowerCase().split(''); const positions = []; // 获取每个字符的键盘坐标 for (let i = 0; i < chars.length; i++) { let found = false; for (let row = 0; row < keyboardRows.length; row++) { const col = keyboardRows[row].indexOf(chars[i]); if (col !== -1) { positions.push({row, col}); found = true; break; } } if (!found) positions.push(null); // 非键盘字符 } // 检查连续三个字符是否在同一行/列且位置连续 for (let i = 1; i < positions.length - 1; i++) { const prev = positions[i-1]; const curr = positions[i]; const next = positions[i+1]; if (!prev || !curr || !next) continue; // 水平连续检查 if (prev.row === curr.row && curr.row === next.row) { const colDiff1 = curr.col - prev.col; const colDiff2 = next.col - curr.col; if (Math.abs(colDiff1) === 1 && Math.abs(colDiff2) === 1 && Math.sign(colDiff1) === Math.sign(colDiff2)) { return true; } } // 垂直连续检查 if (prev.col === curr.col && curr.col === next.col) { const rowDiff1 = curr.row - prev.row; const rowDiff2 = next.row - curr.row; if (Math.abs(rowDiff1) === 1 && Math.abs(rowDiff2) === 1 && Math.sign(rowDiff1) === Math.sign(rowDiff2)) { return true; } } } return false; }

3.2 优化方案：预计算相邻关系

为提高性能，可以预先计算键盘上所有相邻字符的关系：

const buildAdjacencyMap = () => { const keyboard = [ '1234567890-=', 'qwertyuiop[]\\', 'asdfghjkl;\'', 'zxcvbnm,./' ]; const map = {}; // 水平相邻 for (let row = 0; row < keyboard.length; row++) { for (let col = 1; col < keyboard[row].length; col++) { const prev = keyboard[row][col-1]; const curr = keyboard[row][col]; map[prev] = map[prev] || new Set(); map[curr] = map[curr] || new Set(); map[prev].add(curr); map[curr].add(prev); } } // 垂直相邻（简化版，实际应考虑键盘倾斜） for (let row = 1; row < keyboard.length; row++) { const minLen = Math.min(keyboard[row].length, keyboard[row-1].length); for (let col = 0; col < minLen; col++) { const upper = keyboard[row-1][col]; const lower = keyboard[row][col]; map[upper] = map[upper] || new Set(); map[lower] = map[lower] || new Set(); map[upper].add(lower); map[lower].add(upper); } } return map; }; const adjacencyMap = buildAdjacencyMap(); const isKeyboardSequence = (str) => { const lowerStr = str.toLowerCase(); for (let i = 1; i < lowerStr.length - 1; i++) { const prev = lowerStr[i-1]; const curr = lowerStr[i]; const next = lowerStr[i+1]; if (adjacencyMap[prev]?.has(curr) && adjacencyMap[curr]?.has(next) && ((prev < curr && curr < next) || (prev > curr && curr > next))) { return true; } } return false; };

4. 综合密码策略设计

完整的密码校验应包含以下层次：

1. 基础复杂度校验

   • 长度8-20位
   • 包含大写字母、小写字母、数字、特殊符号中的至少三种

2. 弱密码排除

   • 常见密码（admin、password等）
   • 连续重复字符（aaa、111等）
   • 用户个人信息（姓名、生日等）

3. 模式识别

   • 键盘连续字符
   • 数字序列（123、456等）
   • 字母序列（abc、def等）

实现示例：

const passwordPolicy = { minLength: 8, maxLength: 20, requiredTypes: 3, // 需要包含的字符类型数量 blacklist: ['admin', 'password', 'welcome', 'qwerty', '123456'], maxRepeatingChars: 2, maxSequentialChars: 2 }; const checkPassword = (password) => { // 基础检查 if (password.length < passwordPolicy.minLength || password.length > passwordPolicy.maxLength) { return {valid: false, reason: '长度不符合要求'}; } // 字符类型检查 const hasLower = /[a-z]/.test(password); const hasUpper = /[A-Z]/.test(password); const hasNumber = /\d/.test(password); const hasSpecial = /[^a-zA-Z0-9]/.test(password); const typeCount = [hasLower, hasUpper, hasNumber, hasSpecial].filter(Boolean).length; if (typeCount < passwordPolicy.requiredTypes) { return {valid: false, reason: `需要包含至少${passwordPolicy.requiredTypes}种字符类型`}; } // 弱密码检查 const lowerPassword = password.toLowerCase(); if (passwordPolicy.blacklist.some(word => lowerPassword.includes(word))) { return {valid: false, reason: '密码过于常见'}; } // 重复字符检查 if (/(.)\1{2,}/.test(password)) { return {valid: false, reason: '连续重复字符过多'}; } // 键盘连续检查 if (isKeyboardSequence(password)) { return {valid: false, reason: '包含键盘连续字符'}; } return {valid: true}; };

5. 用户体验优化策略

严格的密码策略可能引发用户抵触，我们可以通过以下方式平衡安全与体验：

渐进式校验反馈

• 实时显示密码强度指示器
• 明确提示不符合的具体规则
• 提供符合要求的密码示例

智能建议

const generateSuggestion = () => { const randomWords = ['apple', 'mountain', 'sunshine', 'dragon', 'keyboard']; const randomSpecial = ['!', '@', '#', '$', '%', '^', '&']; const word1 = randomWords[Math.floor(Math.random() * randomWords.length)]; const word2 = randomWords[Math.floor(Math.random() * randomWords.length)]; const special = randomSpecial[Math.floor(Math.random() * randomSpecial.length)]; const num = Math.floor(Math.random() * 90) + 10; // 随机组合方式 const variants = [ `${word1}${num}${special}`, `${word1.charAt(0).toUpperCase()}${word1.slice(1)}${num}`, `${word1}${word2.charAt(0).toUpperCase()}${special}`, `${num}${word1}${special}` ]; return variants[Math.floor(Math.random() * variants.length)]; };

安全性与可用性平衡建议

在实际项目中，我们采用渐进增强策略：对普通用户使用基础校验，对高权限账户启用严格模式。同时通过密码强度实时反馈，教育用户创建更安全的密码，而非单纯依靠强制规则。