密码强度

✍ dations ◷ 2025-04-04 23:43:15 #密码学,算法

密码强度,指一个密码对抗猜测或是暴力破解的有效程度。一般来说,指一个未授权的访问者得到正确密码的平均尝试次数。密码的强度和其长度、复杂度及不可预测度有关。强密码可以降低安全漏洞的整体风险,但并不能降低采取其他安全措施的需要。

攻击者提交猜测密码的速率是衡量一个系统安全性的重要因素。有的系统在多次尝试失败后会暂停登录一段时间,在没有其他安全缺陷时,这种系统可以用相对简单的密码保护。但是系统必须以某种形式存储用户密码,当这些数据被窃取时,就有极大的危险。

密码可以被自动(使用随机方式)或人为创建出来,后一种更为常见。暴力破解随机密码的强度可以精确计算,而计算人类产生的密码强度是比较难的。一般而言,人在创建一个新账户时都被要求输入密码。因为一般人创建密码时都会有某种固定模式,粗略地估计这种密码的强度是可能的,而掌握这些模式就可以方便攻击者进行破解。

另外,密码破解器经常从常用密码表中选取密码,这些密码表包含各种人类语言的词典、许多被窃取数据库中的商业或社交账户的明文或散列密码,与其他常见的密码。因此,所有在表上的或与其相似的密码都被认为是弱密码。数十年来,对多用户计算机系统的密码调查表明,40%甚至更多密码使用计算机程序就可以破解出来,并且当某个账户已被侵入时更加容易。

使用密码进行身份认证的系统都一定有一套验证输入密码的机制,如果这些密码只是简单地以明文存储在系统上,一个拥有足够权限的攻击者就可以获取在系统上存储的所有用户名和密码,使得整个系统向攻击者敞开,甚至会危及其他使用同样或相似的密码的系统。一个减少危险的办法就是用密码散列函数加密密码。诸如SHA的函数是很难由散列值算出原文的,一定程度上防范了攻击。然而攻击者可以用碰撞的方法猜测明文,如今的密码破解程序也可以通过暴力破解的方式从散列值找出明文密码。

日益进步的计算机科学也加快了测试密码的速度。2007年8月,Elcomsoft(英语:ElcomSoft)公司发明了使用普通的绘图卡反向计算密码的技术并开始使用,随后在美国申请了专利。2010年,乔治亚技术研究所(英语:Georgia Tech Research Institute)使用GPGPU使得破解密码的速度提升。2011年,商业产品也宣称他们可以在一台普通的台式机上使用高端的GPU来每秒测试高达2,800,000,000个密码,这样的设备可以在一天之内破解一个由10个字母组成的密码。并且可以并行在多台计算机上进行处理来提高速度。

改变常见散列的算法可以相对地增加一些计算的时间,但并未广泛采用。

弱密码是易于猜测的密码,主要有以下几种:

下面是一些常见的弱密码:

以上仅枚举了极少部分弱密码。

一家美国公司SplashData曾经总结出2011年最弱的25个密码,部分已列于上方。而像这样的密码由于属于常见词组,很容易被破译。据统计,3.8%的密码是字典里的单词,12%的密码是单词加一个数字,其中2/3的机会密码是数字1。

很多用户不更换默认密码,而大部分计算机系统的默认密码可以在网络上找到,极易被破解。如果用户使用个人信息(例如学号、朋友的名字、熟人的生日、电话号码或驾驶执照号码等)作为密码,那么密码便会很容易被破解,因为如今很多个人信息都可以在网络上找到。

太短的密码,虽然容易输入,但是也很容易被攻破。

一个强密码通常长度足够长,排列随机,这样就需要花很多时间才能够破解。下面是强密码的一些例子(由于以下实例已经公开,所以已经不具备安全性,只作为说明例子):

上面列出的强密码的例子的共同特点是相对较长,使用大小写字母、数字和符号的组合。密码越长,使用的符号种类越多,就越难破解。值得注意的是,有些系统不支持例如:“#”、“@”和“!”等等符号作为密码中的字符,因为这些字符可能在有些键盘很难找到。在这种情况下,增加其它的数字或字母可以达到同样的安全效果。

一个10位长的随机密码,比如“BpR#e!ai@$”,虽然强度远弱于上面列出的密码,但由于常用键一共为95个,因此有 95 10 {\displaystyle 95^{10}} 种组合,是不可能在短时间内通过全部列举来破译的。

目前的密码建议为:即使没有使用大小写字母或加入其他符号,只要密码够长,使用一些无意义但便于记忆的句子或单词组合也足够安全。例如上例的“correcthorsebatterystaple”就是由四个英文单词组成。

2017年6月,国家标准技术研究所(NIST)发布新的《800-63》指引第三版,改正已沿用超过十年、受各大政府机构、银行、业界采用的旧建议,不再强调使用人脑难以记忆的特别符号、数字的无意义组合,而且亦不再建议密码需每九十日汰换,因为经研究证明此项指引并没有对系统安全带来有益的效果。NIST文件的旧版原作者伯尔(Bill Burr)并在《华尔街日报》访问中公开道歉,称当时他并无得到可靠的数据作严谨研究,只依靠来自八十年代、不合时宜的旧文件作为参考,而他的建议亦没有考虑到一般人的生活习惯及思考模式。负责撰写新版指引的NIST顾问格拉西(Paul Grassi)指出,旧的要求不利使用,对抵挡黑客攻击的作用不大;如果用户能够在脑海中构想出一幅其他人无法想像的图画,以此作为密码便是最好的,一句够长的完整句子,会优于较短的字母、数字及符号混合密码。华尔街日报引用广泛流传的xkcd漫画,指出只要密码够长,拼合几个看似无意义、但便于该用户记忆的字词作为密码,更能有效抵挡黑客攻击,暴力破解会需要更久的时间。

通常,计算机用户被建议“不要在任何地方因任何原因写下密码”或“不要在不同的帐号使用同一个密码”。实际上,一个计算机用户通常有十几个受密码保护的帐号,并使用同一个密码。而那些试图使用不同密码的用户往往由于密码太多,而记不清哪个帐户和哪个密码相对应。2005年的一次安全会议上,来自微软的一个专家提出:“我认为密码策略应改为你可以写下你的密码。我有68个不同的密码,如果我不允许将他们写下来,我将怎么办?我不得不使用同样的密码”。比较好且实际的建议是在一个低安全性的帐号(如bbs)使用简单的密码,在高安全性的程序(例如:网络银行)使用强密码。

一旦密码被写下来,用户不能将它放在一些明显的地方,如通信录,抽屉等。最糟糕可能也是最常见的情况是密码被写在一张便条纸上,放在计算机附近。比较安全的做法是放在保险箱里。

亦可使用密码管理器(例如:KeePass)管理密码。

相关

  • 不可再生不可再生能源,又称非再生能源、耗竭性能源,与可再生能源对应,是无法经过短时间内再生的能源,而且它们的消耗速度远远超过它们再生的速度。煤炭、石油、天然气等化石燃料与核燃料
  • 艺术家艺术家是指进行艺术作品的创造活动的人物,包括写作、绘画、摄影、表演、雕塑、音乐、书法及舞蹈、等艺术领域,通常是有比较高的成就或拥有独特的个人风格,从而具备了一定的美学
  • 不丹首相不丹政府与政治 系列条目不丹王国首相,或译不丹王国总理,是不丹王国的政府首脑。1964年原首相吉格梅·帕尔登·多吉因为推动改革,得罪军队和宗教团体而遇刺身亡,之后政局继续混
  • 阿克萨烈士旅阿克萨烈士旅(阿拉伯语:كتائب شهداء الأقصى‎)是从法塔赫分离出来的巴勒斯坦武装派别,其名称取自耶路撒冷旧城内的阿克萨清真寺,表达重返耶路撒冷的决心。该组织
  • 硝酸铜硝酸铜是铜(II)的硝酸盐,化学式为Cu(NO3)2。无水物和水合物都是蓝色晶体,但性质有很大不同。水合硝酸铜常用于在学校中演示原电池反应。水合硝酸铜与无水硝酸铜性质有很大差异
  • 黑三角 (电影)《黑三角》是由中国北京电影制片厂拍摄的反特务题材电影,于1977年上映。于秋兰是文化宫的钢琴伴奏,她被卷入到特务案中。经过缜密的侦察,侦察员们发现她的母亲于黄氏才是真正的
  • Sub PopSub Pop是一家美国唱片厂牌,1986年由布鲁斯·帕维特和乔纳森·庞曼成立于华盛顿州西雅图。它在1980年代晚期陆续首签下超脱乐团、声音花园、泥浆蜂蜜等西雅图乐团,被喻作垃圾
  • 1999年亚洲女子手球锦标赛1999年亚洲女子手球锦标赛为第7届亚洲女子手球锦标赛,是一项亚洲区内的国际性女子手球赛事。本届赛事于1999年5月6日-8日在日本熊本县熊本市举行。本赛事亦同时作为翌年在澳
  • 云南两头蛇云南两头蛇(学名:)为游蛇科两头蛇属的爬行动物,是中国的特有物种。分布于云南等地,多生活于丘陵地带。该物种的模式产地在云南景东。
  • 沙口站 (咸镜北道)沙口站(韩语:사구역)是朝鲜民主主义人民共和国咸镜北道清津市青岩区域沙口里的一个铁路车站,属于平罗线。平罗线