有没有办法在不强化密码的情况下加强对强力攻击的加密。我的意思是用户通常选择简单的密码我不想强迫用户选择越来越复杂的密码。(这是正确的解决方案,但是当他们不断忘记密码并且他们无法使用他们的密码时它们是无用的)他们从大写,小写和数字中选择他们的密码。密码长度为8.我想在不改变这些密码属性的情况下进行强力攻击。
编辑:密码长度正好为8.长度不可接受。还有一个关于回复的问题,将加密文本保存在内存中(使用salting和键拉伸)是一个安全问题?
答案 0 :(得分:3)
我很想说:不,这是不可能的。为了使蛮力攻击更难,你需要更多的熵。
话虽如此,如果你做key stretching,你实际上可以让猜测过程变慢。
答案 1 :(得分:2)
如果不知道问题的确切性质,很难对问题发表评论。 (例如,密码只能存储为8个字符吗?)。
那就是说,选择一个好的salt会使暴力变得更加强硬。今天被盗的大多数密码都是由于未能实施适当的腌制而造成的。
为了更加安全,您可以使用consistent hashing在一系列值上对盐进行分片。
答案 2 :(得分:1)
如果您想要保护您的用户不要使用“密码”,“12345678”或类似密码,那么否就无法强化它们。
您必须能够检查提供的密码是否与合理时间内的哈希值匹配(即,平均硬件上的密码小于1秒)。即使在检查哈希和密码之间的相等性时,强制简单密码也需要花费不到一天的时间在普通PC上。
如果您想获得平均质量密码(不是前1000个最常见的密码或少数最常用语言的单个单词),那么密码/密钥拉伸是您最好的选择:scrypt,bcrypt或标准PBKDF2是好的选择。
答案 3 :(得分:0)
使用多轮会减慢尝试密码的过程,但这就是我能想到的全部内容。