密码Entropy和Min-Entropy有什么区别?
是否有建议的最小熵或标准数以确保强密码?
如何将Min-Entropy转换为天数/月/年?
例如:30位的Min-Entropy对应于暴力攻击中2年的计算时间。由于
答案 0 :(得分:0)
需要更多关于正在进行防御的攻击的信息。
问题不是强制密码空间,而是强制使用经常使用的密码列表,比如10,000,000,不需要2年。然后是破解硬件,包括一系列GPU和模糊测试软件。
在黑暗的网络上破解特定密码和破解90%的密码销售之间也存在差异。
有必要使用迭代键派生函数,如PBKDF2,迭代次数为100,000次(约100ms)。
有关详细信息,请参阅:
SecLists处的密码列表。
Infosec password-cracking-tools
Arstechnica How I became a password cracker
高级密码恢复hashcat
[NIST特刊800-63B数字认证指南草案]( https://pages.nist.gov/800-63-3/sp800-63b.html)