首图来自Pixabay,由于服务器在国外因此加载会比较慢。

其实本来想蹭某明星手机号泄漏的热度的,但是仔细一想,发现没有什么好解决办法(国情在那摆着呢。。。),于是改成了密码讨论。

最近看了一些文章,感觉刷新了自己对密码安全的认知。注意:本人是小白

GRC那里有句话个人认为很对(翻译):
密码就像草垛里的针,早晚会被找到,但重要的是找到它的时间。

破解密码分两步,一是字典破解,二是暴力破解。字典破解是用常用密码挨个测试,对了就算运气好,错了就继续,直到字典查完。暴力破解就不用说了。

对付字典破解就是避免常用密码,对付暴力破解重要的是提高熵。熵是衡量事物无序性的单位,熵越大代表无序性越强。

因此,虽然没法绝对肯定,但是你的密码熵越大,一般就越难被暴力破解。的确,知道密码的Hash会大大加快破解速度,但这不是我们要考虑的。

因此,几个建议:
1.密码越长越好
很简单,即使密码是纯数字(当然,我们并不建议这么干),每增加一位可能数就乘10,转换成熵就是+2位。

2.尽量多种字符混合
键盘那么多字符不充分使用你对的起键盘吗 :-P
开玩笑,但是好好想想,纯字母小写增加一位可能数乘26,大小写混用增加一位可能数乘52,大小写加数字乘62,以此类推。

3.密码前后要多点东西(padding)
password这个密码基本用不上半秒就能字典破解,但是[|password|]这个密码就需要暴力破解——破解者的字典里没有它。同时padding之后密码就会自动符合上面的两点建议,至于结果我应该不用多说。

文末附上几个不错的网站(英文)。
Password Strength Checker
GRC Password Haystack
Password Discussion

没有回复

新增回复

用星号围住文章(例如 *word*)会以粗体样式显示,而用下划线围住文章(例如 _word_)会以带下划线的方式显示
像 :-) 和 ;-) 等标准的表示表情色彩的字符串会被转换成图片形式
电子邮件地址将不会被显示,而仅将被用于发送电子邮件通知