本篇文章1716字,读完约4分钟
什么是好密码? 几乎所有的网站都被赋予了大致相同的标准。
长度在8位数以上。需要大写、小写、数字、符号。请不要使用包含部分置换的词典中出现的单词(例如,p@ssword或fai1也不是)。
如果你的密码符合这些标准,基本上网站会奖励绿色强密码标志的好密码。 但是实际上你和网站都错了。 为什么? 首先,让我们从密码是如何被破解开始。
黑客如何破解密码
网站通过将输入的密码与数据库中的密码进行匹配来验证客户。 但是,通常,这些密码不是用明文存储的,而是用散列算法单方面加密存储的密码,输出结果不能逆向工程。 例如,“123456”通过sha-1散列算法得到的结果是7110 EDA 4d 09e 062 A5 E4 A5 E4 B 390 B 0a 572 AC0D2C 0220,该结果无法知道原始密码。
然后,客户机登录时输入的密码也使用同样的散列算法计算散列值,与数据库中存储的正确的密码散列值进行对照,如果一致,则证明输入的密码是正确的。
拿到散列文件的黑客可以用暴力破解法比对哪个账户和哪个密码相关联。 他们可以从简单的密码开始。 这些密码可以从以前的攻击词典库中搜索,也可以从普通词典中搜索来进行单词组合。
如果密码长度很短,并且使用的字符集只有大小写,则解密速度会快很多。 黑客可以使用彩虹表(预先计算的哈希值)来加快暴力破解的速度。 从逻辑上说,使用上述许多复杂、不常见的密码应该是一个好选择(例如: spooning1! 因为离别人很远,所以很难被放进彩虹表)。 但实际情况并非如此。
因为现在的计算能力非常强大,结合普通计算机和图形阵列的gpu能力,暴力破解法可以解决每秒10亿到千亿个sha-1算法加密的密码。 但是,如果密码有11、12位数以上,同时在所有可能的文字中随机生成,那么即使拥有如此强大的计算能力,暴力破解法也不容易破解。
讲故事,设定密码
但问题是,大部分人没有使用随机生成的密码。 当然,不使用随机密码也是有原因的。 因为随机密码很难记住(大脑机制就是这样,不太容易记住随机的字母数字组合)。 但是,麻烦的是这里。 因为哪个“好密码”规则被黑客熟知。 markus jakobsson指出,这是密码设置的安全性和可用性之间的矛盾。
正在研究中的jakobsson,因为喜欢苹果,所以有些人在密码上使用了“apples”,但是因为网站需要大写字母,所以把第一个文字改为了a。 这个可能不安全。 需要数字和文字。 普通客户选择最简单的满足规则的方法,然后添加1。 ““苹果1! ”。 按照前面的密码设置规则,“苹果1! ’确实是个好密码(至少和哪个坏密码比较)。
但是,黑客在破解时也经常像法炮制一样,利用词典和个别字符的替换,利用上述一般数字、符号的扩展来缩短破解时间(例如利用马尔可夫链技术进行预测)。 。 年中3位安全专家利用某泄漏数据库进行测试,1小时成功率为60%,20小时成功率达90%。
相反,jakobsson建议客户使用所谓的“快速口令”方法设置密码。 也就是说,用几个词来组织故事,构成密码组合。 例如,跑步时踩松鼠,可以更快地记忆为“running forest squirrel”。 这个方法因为有故事部分,所以很容易记住,但是由于使用字符数一般超过10~12个字符,所以只要破解者不使用单词组合等其他技术,暴力破解法就不容易破解。 但是,单词组合的可能性几乎是无限的,对暴力的解读几乎没有解。
尽管如此,设定密码时不能随便讲故事。 研究人员发现,用“快速密码”法设定的密码的安全性取决于所使用的组合在语料库中出现的概率。 例如,一般的“i love you honey”在微软的语料库web n-gram服务中的出现频率为2/100000000,是相对较差的密码。 商家不小心踩坏了一只青蛙的“frog work flat”的出现概率是百万的三次方之一,强度非常高。 所以,要得到密码,重要的是讲你的故事。
但是,密码专家认为,与其只在密码设置上下功夫,不如广泛使用双因子认证的方法来确保安全性,不安全的密码不会成为抵御攻击的唯一障碍。
编译本文来源: wired]
来源:成都新闻网
标题:“你已经为你已经为的好密码就是好密码?”
地址:http://www.cdsdcc.com/cdkjsh/18697.html