我對不要在句子中使用字典單字作為密碼的常見建議提出質疑。例如使用“我的名字是蘇!”作為密碼。在我託管和管理的網站上,如果您不輸入確切的字串,您就無法進入。我很快就放棄了尋找各種書面語言中不存在的單字的嘗試。因此,使用荷蘭語髒話會導緻密碼很糟糕。但是,那裡沒有短語,即使有,可能的短語數量及其排列不會簡單地將其變成另一種形式的暴力攻擊嗎?
那麼,為什麼建議不要在句子中使用字典單字作為密碼片語呢?
(肥皂盒)我認為 IT 部門要求使用更複雜且不可能記住的密碼,而不是提供使用密碼的建議,這對使用者造成了傷害。我正在尋找一個合理的答案,為什麼我的想法不正確,應該回到常見的建議。
答案1
答案2
正如“厄尼”已經說過的那樣,您正在將密碼與密碼短語進行比較。不要使用字典單字的建議是可靠的。但是,使用密碼短語作為字典單字的組合只是危險性降低了“一步”,嘗試製作令人難忘的密碼/短語的其他技巧也是如此。
如今,在攻擊者擁有您的密碼(短語)的加密版本的情況下,他不會只是進行普通的字典攻擊。駭客知道所有的事情技巧(利茲語、連接單字、加數字等)。
擴充資訊位於Security Now 第 366 集“密碼破解更新:‘聰明’之死”(或閱讀其成績單)。
我建議你使用一個好的密碼產生器,例如最後通行證(在 Security Now 第 256 集中也進行了深入討論)為您產生隨機密碼。人類隨機地變壞(要么產生它或者檢測到它)
如果您確實想要記住密碼,您可能需要使用密碼乾草堆技術作為難以記住的隨機組合的替代方案。在這裡,您將重複字串 (123 123 123) 附加到包含最大熵 (D0g!) 的短字串。
無論你選擇什麼方法,設定您的密碼至少 12 個字符。全部8個字元的密碼現在可以在13小時內破解在花費 12000 美元的自行建造機器上(主要用於 GPU)
答案3
暴力破解密碼的難度至少取決於兩個變數:
- 密碼長度。
- 允許的密碼字元。
第一個是顯而易見的。如果我限制自己只使用字母(26個小寫字母+26個大寫字母),那麼
- 單字母密碼最多可猜 52 次。
- 兩個字母的密碼最多可以猜出 2704 次(52×52)
- 三字母密碼最多可猜 140608 次(52×52×52)
正如您所看到的,組合數量迅速增加。因此,密碼越長,暴力破解就越困難。IT 部門應該鼓勵使用長密碼。
然而,許多舊應用程式只接受長度最長為 8 的密碼。如果你僅限於這樣的8個字元。限制,或者您知道您的用戶不會使用長密碼,還有另一種方法可以使密碼更難被暴力破解:使密碼使用更大的輸入集而不僅僅是字母。添加數字。添加鍵盤上有奇怪的東西。
這不是一個好的解決方案。這是一種補償普通用戶或舊系統的解決方法。密碼類似電池馬主食馬釘(長度 18)比大多數短而複雜的密碼更難破解。然而,大多數人都懶得打字。
你可能會注意到我一直在使用這個詞暴力破解密碼並不是破解密碼。這是因為還有其他方法可以發現某人的密碼。例如,你可以猜測。
字典不過是需要猜測的大量單字列表,密碼破解程式夠聰明,可以嘗試字典中單字的變體。
這使得此類字典中的單字既不適合密碼也不適合在密碼短語中使用。