密码强度算法的标准化

Question

最近几个月我一直想知道网站上所有这些密码强度计。如果您在每个注册表单中使用相同的密码，则仪表上的结果有时会有所不同。有人说“强”其他人说“正常”，有些人甚至会说“弱”。

所以问题是，如果程序员在他们的工作中会使用一个标准，使它变得有点混乱，有时会令人讨厌，该怎么办？

如果你说是和否，请提出一两个论点。

谢谢！

P.S。不确定之前是否已经讨论过，如果这是“重复”，请保持冷静。

修改

看起来问题已被妥协。我并没有考虑开始讨论密码强度。说实话，每个密码都可以被盗，只需要适当的工具。

这不是关于一个站点或另一个站点的安全性。我实际上并没有看到一个银行网站采用任何安全措施，他们可能会自己做所有事情以使其独一无二。

让我们再试一次..如果有一个广告系列，程序员会根据他们的方法展示他们的代码，其他人则需要投票，遵循一些投票指南，例如：你必须判断简单性，兼容性和安全性。

然后，获胜方法（由程序员投票）将被选为“标准”方法并推广用于表格。

你认为这种方法有用吗，如果你这样做，你会用它吗？

Answer 1

使用“弱”和“强”之类的相对术语来标准化密码的强度有点像使用类似术语来标准化锁的强度。你不能衡量“弱”或“强”;您可以测量的是断开需要多长时间（类似于物理锁/保险柜上的安全等级），候选键的可接受容差（指纹或键磨的距离必须与锁的原始样本有多接近）键入以便工作）等。

弗雷德利的算法会给你一个数字。这个数字可以与任何其他数字进行比较，就像任何测量一样，你可以量化相对的力量或弱点。至于定义像“X弱”，“Y是正常”的标准，我认为你不会让所有感兴趣的人都同意，因为钥匙的绝对强度必须始终参考价值。它保护的资源。你（或你的女儿）不会把她的日记放在金库门后面的银行保险箱里;一个80美分的玩具锁会为那些她不想读它的人提供“强大”的安全保护（鼻子小或大哥，睡觉的客人等等）。然而，80美分的玩具锁在你的保险箱门上不会持续两秒钟，你的房子的契约，你的汽车的头衔和你曾祖母的一次性25克拉钻石项链是保持。

同样，银行网站所需的密码（或更准确地说是复合安全措施）将比在线论坛更强，因为它保护的资源具有更多的物质价值。该论坛只是一句话（虽然有一些着名的Facebook黑客案例导致照片泄露泄露）;如果黑客进入你的银行记录，他们会严重破坏你的生活。

因此，“MittensABC”对于大多数论坛来说都是可接受的密码，因为它超过8个字符（26 ^ 8 =大约2080亿个随机字母组合）并包含大写和小写字母（“粗暴”所需的样本空间）强制“此密码将是52 ^ 10 = 144个千万字节可能的10个字符区分大小写的字符串组合）。然而，它对于银行来说是完全不合适的：它主要由字典单词组成，并且只是因为你添加了一个易于猜测的字母组合而不同，所以“智能”破解alg可以减少初始样本空间在现代用法中使用100k左右的单词，并附加基本的字母和数字字符串，以得出可能有几百万种可能性（儿童玩耍计算机的流失）。出于同样的原因，许多提供非常私密信息访问的网站不允许在密码中使用生日，SSN等，因为如果该信息被盗，可以作为破解算法的提示给出，进一步减少初始可能的样本空间。

总之，制作“好”密码的原因取决于黑客/黑客在试图破解密码时持续存在的可能性。还有其他有用的工具，例如登录尝试之间的10秒冷却时间，或15分钟内的一定次数的尝试，这使得几乎不可能利用计算机的速度，但智能算法，网站漏洞，或者愚蠢的用户都可以增加成功破解的机会。

Answer 2

您是否需要理论上的答案来衡量实际标准的强度或实际实施情况？

如果是后者，这个旧问题有一些很好的链接

• How do I measure the strength of a password?

和一些可能是事实上标准的jQuery插件，例如

• http://phiras.wordpress.com/2009/07/29/password-strength-meter-v-2/
• http://projects.sharkmediallc.com/pass/

因为即使没有强度算法背后的任何引用研究，它们也可用且易于使用。这些显而易见的遗漏是字典检查，以确保您没有使用过或简单地基于字典单词，这可能需要服务器端实现才能做得好。 （我猜，这是好的，因为你最终会将你编写的密码发送给同一台服务器。）

Answer 3

来自Wikipedia：

  

可以通过计算信息熵来计算随机密码的强度。如果密码中的每个符号都是独立生成的，则密码的信息熵由公式给出：

     

     

其中N是可能符号的数量，L是密码中的符号数。函数log2是base-2对数。 H以位为单位测量。

计算详见维基百科页面。