我刚看到this xkcd漫画,关于密码如何比熵更短的密码更安全。
我的问题是,为什么不鼓励更多人使用这样的密码?为什么密码要求经常,“至少8个字符”?当您在Web应用程序中使用密码生成时,它通常会为您提供8-10个字母数字字符,并将其标记为“非常强大”。为什么不给你一个像“这种奶酪味道好”的密码?
攻击者经常使用字典攻击,这很容易泄露这些密码吗?
我们不应该鼓励用户开始使用密码,例如“我的密码是M4nch3ster34!”或者“我不喜欢ch33sec4k3sss”所以它有非词典单词,但也足够长,可以阻止蛮力?
答案 0 :(得分:3)
你的问题的答案是:不,这不是一个安全的密码,至少在漫画的分析意义上。因为这个短语在语法上是正确的(与xkcd上的例子不同),所以熵比你想象的要少很多。
然而,只有你能记住的句子才能是非常有效的密码(我认为这是你的更广泛的观点),而且它们不常用的主要原因是,恕我直言,纯文化/历史,与此有关8个字符限制,字符代码页以及计算中另一个时间的其他遗物。
答案 1 :(得分:0)
这取决于。理论说这很容易找到,实践说相反。要找到类似的东西,需要一套定制的规则来进行猜测。规则应该是:给定一组单词,连接每个单词以形成一个4个单词的句子,从原始集合中需要多次。
所以理论说这很容易找到,实践说没有人会有这个规则,除非他们知道关于你/上下文的内容,把它放在他们的john.conf(或任何其他词汇bruteforce工具配置)中。
我破解了很多工作密码,从不针对特定用户,但总是试图获取任何有效的凭证来启动某些东西(DB,ssh,win等等)。长度通常足以抵御该威胁(有人随意想要访问某些内容并搜索任何正确的密码)。
当谈到个性化/有针对性的攻击时,人们可以更多地了解受害者并应用更精确的规则。看看CRUNCH,用http://pentestlab.wordpress.com/2012/07/12/creating-wordlists-with-crunch/扩展一个单词表太简单了,这就是人们在针对受害者时所做的事情。
