此修改主要遵循丹惠勒密码强度估计器 zxcvbn 的原则。它不通过上下字母、特殊字符和数字的组合来衡量密码强度，而是通过它们在现实中破解的简单程度来衡量密码强度。
为了提高用户帐户的安全性，您可以强制用户使用长度最短、强度最小的密码，甚至强制用户将某些单词排除在密码之外（如您的网站名称、网站所指的主题等）。
但方程式的另一面，是无论密码有多安全，如果它已被泄露，而不是密码强度估计器将有助于使它变得更好。因此，NIST 具有以下指导：检查从以前数据泄露中获取的密码。Pwned 密码集成会这样做。

浏览附件790​

特征

• 显示密码功能，允许用户切换，查看他们实际输入的内容。
• 向用户展示他们的密码在破解尝试方面到底有多强
• 如果不符合密码和密码确认匹配和/或某些要求，则提供即时反馈
• 强制用户选择强度最小的密码
• 强制用户选择长度最短的密码
• 强制用户选择不包含您定义的黑名单中单词的密码
• 无作弊：此修改还控制服务器一侧的用户密码，本 Jeavos...

点击展开...

• Switch back to upstream library as it should be fully php 8.1 compatible.bjeavons/zxcvbn-php
• More 32bit php fixes

点击展开...

• 需要 XenForo 2.2+，放弃 XF2.1 支持
• 实际实现 cron 来修剪 pwned 密码哈希缓存。已经被忽略的旧条目，所以希望这只会减少MySQL表膨胀
• 通过防止密码过长来修复拒绝服务攻击，这可能会在使用 Zxcvbn 时触发蛮力密码检查的阶乘数量
  • 将新的安装选项默认值更新为更多推荐值：
  • 为管理员强制实施密码复杂性
  • 启用"默认长度检查"，并将"最小长度"设置为 8
  • 默认启用"Pwned 密码密码验证"

点击展开...

• 改进对"强制管理员密码复杂性"功能的管理员/自动编辑的检测。

点击展开...

• 修复 重置用户密码时密码检查可能未正确应用的问题

点击展开...

• 修复"登录时触发泄露密码警报之间的最短时间"以秒而不是小时为单位运行
• 修复了在发现密码已泄露后，不会在首次登录请求中强制启用电子邮件 2fa 的情况
• 重命名各种选项以更好地搜索
• 调整各种选项默认值以使其更加可靠。
  • "最小密码长度"从 8 => 10 个字符
  • "最小密码强度"从"非常弱"到"弱"
  • "密码最小计数（软）"从 1 到 0
  • "密码最小计数（硬）"从 2 到 1
  • "密码缓存时间"从 7 到 3 天

点击展开...

此附加组件现在可用于atelieraphelion.com

• 需要标准库 v1.18.0+
• 添加新的"泄露密码的用户组"选项，当检测到用户组在登录时密码已泄露时，该选项会将使用添加到所选用户组。
  默认为禁用。对于带有通知的定位很有用

点击展开...

• 修复在某些情况下在写入挂起时更改用户实体的问题
• 添加"在密码计量中使用拒绝的密码片段"选项（默认禁用）。
  向用户显示密码强度计时，请考虑拒绝的密码片段。
  安全说明：这使得最终用户可以看到被拒绝的密码片段的完整列表;在启用之前，请确保没有任何敏感的密码片段。

点击展开...

• 添加"在密码泄露时强制重置密码"选项
  • 对于大多数网站来说，此选项可能有点矫枉过正，通常不建议这样做

点击展开...

• 需要 standardLib v1.20.0+
• 恢复 XF2.1 支持，注意前端 Zxcvbn 需要 XF2.2+
• 支持XF2.3+
• PHP 8.4+ 兼容性

点击展开...

• 修复使用 XF2.3 时的 javascript 错误

点击展开...

• 修复在没有电子邮件地址的情况下注册帐户时的内部服务器错误（需要第 3 方插件才能触发）

点击展开...