需要两个或更多密码才能提高安全性吗?

时间:2012-07-22 01:29:27

标签: security

我不是统计学家,所以我不知道这方面的数学,但采取以下两种情况:

单个16个字符的密码:

Password: XXnrKkO4`AM&U$6D

两个8个字符的密码:

Password 1: u/wyk<}U
Password 2: hc]KpL3C

我已经看到一些需要高安全性的网站(即:银行)使用两个密码布局,但它增加了多少安全性?

3 个答案:

答案 0 :(得分:3)

银行通常不会(除非他们有愚蠢的安全政策,其中有一些是这样做的)要求两个处理相同的密码。

我所在的一家银行,汇丰银行使用双因素身份验证。他们要求我的帐户密码(“我知道的东西”)以及密钥扣生成的一次性密码(“我拥有的东西”)。这有助于防止单因素身份验证的两个弱点:“橡胶软管加密”(有人从我这里击败我的密码,但他们没有密钥卡)和一个被盗密码(他们有密钥卡,但不是我的密码)大脑)。

其他银行,例如Nationwide(在英国),要求您提供客户ID(相当于用户名),还要提供“令人难忘的数据”(实际上是密码)三位数使用鼠标通过下拉列表选择的6位数字代码。

我理解这是为了防止键盘记录器:密码(“令人难忘的数据”)提供传统的密码安全性,但下拉数字列表提供了键盘记录保护,因为数字随机化并用鼠标选择(键盘记录器通常不记录鼠标移动)。但是,通过鼠标选择整个密码是不切实际的,因此可以解释这一点。

现在回到原来的问题,假设你没有谈论我刚才描述的两个场景,那么答案是“它取决于”。

然而,人们会认为有问题的网站只是在通过密码匹配实现之前将两个密码连接在一起(希望使用盐渍哈希),但即使它们没有连接,显然组合的数量(假设按字母顺序排列)仅密码)16个字符密码(26 ^ 16)与两个8字符密码相同(26 ^ 8 * 26 ^ 8 == 26 ^(8 + 8))。

因此,考虑到输入域的大小对于两种情况都是相同的,它表明网站开发人员是愚蠢的,或者他们有单独的文本框以帮助实现(例如,通过将两个更容易连接来生成长密码)记住密码),有一个双因素系统,或者有就地键盘记录技术......或完全不同的东西:)

答案 1 :(得分:0)

它不是那么安全,取决于您的数据库布局实际上可以降低性能。这对用户来说也是一个巨大的麻烦。

答案 2 :(得分:0)

您所指的方法称为“双重验证”,当与多种不同的识别技术一起使用时,它最有效。

例如,第一种验证方法可能涉及电子邮件+通过(我们都熟悉那个),第二种可能涉及使用手机+短信(发送到您的手机的代码将被引入以进行额外验证)。

这是个好主意,我一直都会将它用于所有Google应用。就在几个月前,我们的一个竞争对手(没有名字)将他的Google帐户入侵,用户信息曝光。通过双重验证可以避免这种情况。

关于密码有效性的问题,请查看此链接。 http://howsecureismypassword.net/

双通确实意味着更高的安全性,但使用不同的验证方法会使其更加有效。