Regex para validar a força da senha

Meus critérios de força da senha são os seguintes:

• Comprimento de 8 caracteres
• 2 letras em maiúsculas
• 1 Caráter Especial (!@#$&*)
• 2 numerais (0-9)
• 3 letras em minúsculas

Alguém pode me dar regex para o mesmo. Todas as condições devem ser atendidas por senha.

Você pode fazer essas verificações usando declarações positivas de antecipação:

^(?=.*[A-Z].*[A-Z])(?=.*[!@#$&*])(?=.*[0-9].*[0-9])(?=.*[a-z].*[a-z].*[a-z]).{8}$

Link Rubular

Explicação:

^                         Start anchor
(?=.*[A-Z].*[A-Z])        Ensure string has two uppercase letters.
(?=.*[!@#$&*])            Ensure string has one special case letter.
(?=.*[0-9].*[0-9])        Ensure string has two digits.
(?=.*[a-z].*[a-z].*[a-z]) Ensure string has three lowercase letters.
.{8}                      Ensure string is of length 8.
$                         End anchor.

Você pode usar antecipações positivas de comprimento zero para especificar cada uma de suas restrições separadamente:

(?=.{8,})(?=.*\p{Lu}.*\p{Lu})(?=.*[!@#$&*])(?=.*[0-9])(?=.*\p{Ll}.*\p{Ll})

Se o mecanismo regex não suportar a \pnotação e o ASCII puro for suficiente, você poderá substituir \p{Lu}por [A-Z]e \p{Ll}com [a-z].

As respostas dadas acima são perfeitas, mas sugiro usar várias expressões regulares menores, em vez de grandes.
A divisão do regex longo tem algumas vantagens:

• facilidade para escrever e ler
• facilidade para depurar
• facilidade para adicionar / remover parte do regex

Geralmente, essa abordagem mantém o código de fácil manutenção .

Dito isto, compartilho um pedaço de código que escrevo no Swift como exemplo:

struct RegExp {

    /**
     Check password complexity

     - parameter password:         password to test
     - parameter length:           password min length
     - parameter patternsToEscape: patterns that password must not contains
     - parameter caseSensitivty:   specify if password must conforms case sensitivity or not
     - parameter numericDigits:    specify if password must conforms contains numeric digits or not

     - returns: boolean that describes if password is valid or not
     */
    static func checkPasswordComplexity(password password: String, length: Int, patternsToEscape: [String], caseSensitivty: Bool, numericDigits: Bool) -> Bool {
        if (password.length < length) {
            return false
        }
        if caseSensitivty {
            let hasUpperCase = RegExp.matchesForRegexInText("[A-Z]", text: password).count > 0
            if !hasUpperCase {
                return false
            }
            let hasLowerCase = RegExp.matchesForRegexInText("[a-z]", text: password).count > 0
            if !hasLowerCase {
                return false
            }
        }
        if numericDigits {
            let hasNumbers = RegExp.matchesForRegexInText("\\d", text: password).count > 0
            if !hasNumbers {
                return false
            }
        }
        if patternsToEscape.count > 0 {
            let passwordLowerCase = password.lowercaseString
            for pattern in patternsToEscape {
                let hasMatchesWithPattern = RegExp.matchesForRegexInText(pattern, text: passwordLowerCase).count > 0
                if hasMatchesWithPattern {
                    return false
                }
            }
        }
        return true
    }

    static func matchesForRegexInText(regex: String, text: String) -> [String] {
        do {
            let regex = try NSRegularExpression(pattern: regex, options: [])
            let nsString = text as NSString
            let results = regex.matchesInString(text,
                options: [], range: NSMakeRange(0, nsString.length))
            return results.map { nsString.substringWithRange($0.range)}
        } catch let error as NSError {
            print("invalid regex: \(error.localizedDescription)")
            return []
        }
    }
}

Eu sugeriria adicionar

(?!.*pass|.*word|.*1234|.*qwer|.*asdf) exclude common passwords

A solução do codaddict funciona bem, mas essa é um pouco mais eficiente: (sintaxe do Python)

password = re.compile(r"""(?#!py password Rev:20160831_2100)
    # Validate password: 2 upper, 1 special, 2 digit, 1 lower, 8 chars.
    ^                        # Anchor to start of string.
    (?=(?:[^A-Z]*[A-Z]){2})  # At least two uppercase.
    (?=[^!@#$&*]*[!@#$&*])   # At least one "special".
    (?=(?:[^0-9]*[0-9]){2})  # At least two digit.
    .{8,}                    # Password length is 8 or more.
    $                        # Anchor to end of string.
    """, re.VERBOSE)

As classes de caracteres negados consomem tudo até o caractere desejado em uma única etapa, exigindo zero retorno. (A solução dot star funciona muito bem, mas requer algum retorno.) Obviamente, com sequências curtas de destino, como senhas, essa melhoria de eficiência será insignificante.

import re

RegexLength=re.compile(r'^\S{8,}$')
RegexDigit=re.compile(r'\d')
RegexLower=re.compile(r'[a-z]')
RegexUpper=re.compile(r'[A-Z]')


def IsStrongPW(password):
    if RegexLength.search(password) == None or RegexDigit.search(password) == None or RegexUpper.search(password) == None or RegexLower.search(password) == None:
        return False
    else:
        return True

while True:
    userpw=input("please input your passord to check: \n")
    if userpw == "exit":
        break
    else:
        print(IsStrongPW(userpw))

A solução do @ codaddict funcionará.

Você também deve alterar algumas de suas regras para:

1. Adicione mais caracteres especiais, como%, ^, (,), -, _, + e ponto final. Estou adicionando todos os caracteres especiais que você perdeu acima dos sinais numéricos nos teclados dos EUA. Fuja dos que o regex usa.
2. Crie a senha com 8 ou mais caracteres. Não é apenas um número estático 8.

Com as melhorias acima, e para mais flexibilidade e legibilidade, eu modificaria o regex para.

^(?=.*[a-z]){3,}(?=.*[A-Z]){2,}(?=.*[0-9]){2,}(?=.*[!@#$%^&*()--__+.]){1,}.{8,}$

Explicação básica

(?=.*RULE){MIN_OCCURANCES,}     Each rule block is shown by (){}. The rule and number of occurrences can then be easily specified and tested separately, before getting combined

Explicação detalhada

^                             start anchor
(?=.*[a-z]){3,}               lowercase letters. {3,} indicates that you want 3 of this group
(?=.*[A-Z]){2,}               uppercase letters. {2,} indicates that you want 2 of this group
(?=.*[0-9]){2,}               numbers. {2,} indicates that you want 2 of this group
(?=.*[!@#$%^&*()--__+.]){1,}   all the special characters in the [] fields. The ones used by regex are escaped by using the \ or the character itself. {1,} is redundant, but good practice, in case you change that to more than 1 in the future. Also keeps all the groups consistent
{8,}                          indicates that you want 8 or more
$                             end anchor

E, finalmente, para fins de teste, aqui está um robulink com a regex acima

Para PHP, isso funciona bem!

 if(preg_match("/^(?=(?:[^A-Z]*[A-Z]){2})(?=(?:[^0-9]*[0-9]){2}).{8,}$/", 
 'CaSu4Li8')){
    return true;
 }else{
    return fasle;
 }

neste caso, o resultado é verdadeiro

Thsks for @ridgerunner

Outra solução:

import re

passwordRegex = re.compile(r'''(
    ^(?=.*[A-Z].*[A-Z])                # at least two capital letters
    (?=.*[!@#$&*])                     # at least one of these special c-er
    (?=.*[0-9].*[0-9])                 # at least two numeric digits
    (?=.*[a-z].*[a-z].*[a-z])          # at least three lower case letters
    .{8,}                              # at least 8 total digits
    $
    )''', re.VERBOSE)

def userInputPasswordCheck():
    print('Enter a potential password:')
    while True:
        m = input()
        mo = passwordRegex.search(m) 
        if (not mo):
           print('''
Your password should have at least one special charachter,
two digits, two uppercase and three lowercase charachter. Length: 8+ ch-ers.

Enter another password:''')          
        else:
           print('Password is strong')
           return
userInputPasswordCheck()

A senha deve atender a pelo menos três das quatro regras de complexidade a seguir,

[pelo menos 1 caractere em maiúscula (AZ) pelo menos 1 caractere em minúscula (az) pelo menos 1 dígito (0-9) pelo menos 1 caractere especial - não se esqueça de tratar o espaço como caracteres especiais também]

pelo menos 10 caracteres

no máximo 128 caracteres

não mais que 2 caracteres idênticos seguidos (por exemplo, 111 não permitido)

'^ (?!. (.) \ 1 {2}) ((? =. [Az]) (? =. [AZ]) (? =. [0-9]) | (? =. [Az] ) (? =. [AZ]) (? =. [^ A-zA-Z0-9]) | (? =. [AZ]) (? =. [0-9]) (? =. [^ A -zA-Z0-9]) | (? =. [az]) (? =. [0-9]) (? =. * [^ a-zA-Z0-9])). {10,127} $ '

(?!. * (.) \ 1 {2})

(? =. [az]) (? =. [AZ]) (? =. * [0-9])

(? =. [az]) (? =. [AZ]) (? =. * [^ a-zA-Z0-9])

(? =. [AZ]) (? =. [0-9]) (? =. * [^ A-zA-Z0-9])

(? =. [az]) (? =. [0-9]) (? =. * [^ a-zA-Z0-9])

. {10.127}

Infelizmente, toda a regex acima não funcionou para mim. As regras básicas de uma senha forte são

• Deve conter pelo menos uma letra maiúscula
• Deve conter pelo menos uma letra minúscula
• Deve conter pelo menos um número
• Deve conter pelo menos um caractere especial
• E comprimento mínimo

Então, o Best Regex seria

^(?=.*[a-z])(?=.*[A-Z])(?=.*[0-9])(?=.*[!@#\$%\^&\*]).{8,}$

O regex acima tem um comprimento mínimo de 8. Você pode alterá-lo de {8,} para { any_number ,}

Modificação nas regras?

digamos que você queira um mínimo de x caracteres minúsculos, y caracteres maiúsculos, z caracteres, número total mínimo de comprimento w . Em seguida, tente abaixo da regex

^(?=.*[a-z]{x,})(?=.*[A-Z]{y,})(?=.*[0-9]{z,})(?=.*[!@#\$%\^&\*]).{w,}$

Nota: Altere x , y , z , w na expressão regular

Editar: resposta regex atualizada

Edit2: modificação adicionada