我有一个128位加密的PDF文档。
用户坚持使用四字符密码,该密码全部为数字,例如1558或6977或4793。
128位加密很强 - 密码弱点否定了这种优势吗?
答案 0 :(得分:3)
对于4个字符的all-numneric密码,总共有10000个密码。加密的“强大”程度无关紧要;蛮力甚至不是“野蛮”。我的袖珍计算器可以做到这一点。
注意:这适用于ATM或SIM卡的原因是因为您没有机会暴力。尝试3次失败后,自动柜员机会吃掉您的卡,SIM卡也会锁定,直到您输入另一个8位数的密码,如果您在10次尝试中没有正确使用,将“永久”锁定该卡。< / p>
答案 1 :(得分:2)
加密的强度与密钥生成的强度不同。人们可以像Slabks所说的那样实现安全,现代的密钥生成机制,如PBKDF2,但与更强的密码(如128位AES)相比,使用相对较弱的加密密码(如128位RC4)。
然而,正如克里斯蒂安所说,一个4位数的PIN最多有10000个密码,而生成密钥并不是很多熵。如果存在某种形式的散列或其他篡改检测,则使用专用的现代系统来强制加密文档将相对容易。如你所说,是的,密码弱点会降低加密强度。
要添加上述Christian的评论,您现在可以看到某些手机和平板电脑应用程序(如DropBox)上的PIN码,因为正如Christian所说,他们正在接受服务器的身份验证,并在输入太多错误的PIN码时将其锁定。由于ATM,手机和平板电脑的输入功能有限,ATM卡和这些应用程序是可以接受的,但对于带有全键盘的系统来说这不是一个可接受的借口。
答案 2 :(得分:1)
这取决于它的实施方式。
理想情况下,加密密钥将使用安全方案(如PBKDFv2)从密码派生。如果是这样,弱密码将不会影响加密的安全性。
但是,如果攻击者知道该密钥是使用PBKDFv2派生的,则弱密码将更容易受到用于派生密钥的暴力/字典攻击。
答案 3 :(得分:1)
是的,如果攻击者知道用于派生密钥的密码只有四位数,那么它就会大大减少他在蛮力攻击中必须尝试的密钥空间。
<00> 0000到9999只有一万种组合。如果是10个区分大小写的字母数字,那么你就有62 ^ 10(约8 * 10 ^ 17)个组合。尝试所有这些太多了。
即使攻击者不知道你的用户的“要求”,他也可能会用短密码开始暴力破解,所以他很快就会偶然发现一个四位数的组合。