过去几个月,我一直想知道网站上的所有这些密码强度计。如果您在这些注册表单中使用相同的密码,则仪表上的结果有时会有所不同。一个说“强”,另一个说“正常”,可能有些人甚至会说“弱”。
所以问题是,如果有一个标准,程序员在他们的工作中会使用它,让它不那么困惑,有时会令人讨厌?
如果你说是和否,请给出一两个论点。
谢谢!
附言不确定之前是否讨论过这个问题,如果这是“重复”,请保持冷静。
编辑
看起来这个问题已经妥协了。我没想过要开始讨论密码强度。老实说,每个密码都可能被盗,只需要合适的工具。
这与某个站点的安全性无关。我实际上还没有看到使用任何类型的安全措施的银行网站,他们可能会自己做所有事情以使其独一无二。
让我们再试一次。如果有一场运动,程序员展示他们方法的代码,其他人必须投票,遵循一些投票准则,比如:你必须判断简单性、兼容性和安全性。
然后,获胜的方法(由程序员投票)将被选为“标准”方法并在表单中推广使用。
你觉得这种方法有什么用,如果有,你会用吗?
最佳答案
使用“弱”和“强”等相对术语对密码的强度进行标准化,有点像使用类似的术语对锁的强度进行标准化。你无法衡量“弱”或“强”;您可以衡量的是破坏需要多长时间(类似于物理锁/保险箱的安全等级),候选 key 的可接受容差(指纹或 key 磨削与锁的原始样本的接近程度)键入以工作)等。
Fredley 的算法会给你一个数字。该数字可以与任何其他数字进行比较,就像您可以量化相对强弱的任何测量一样。至于定义“X 弱”、“Y 正常”等标准,我认为你不会让所有感兴趣的各方都同意,因为必须始终引用 key 的绝对强度来考虑 key 的绝对强度。它保护的资源。你(或你的女儿)不会把她的日记放在银行金库门后面的保险箱里;一个 80 美分的玩具锁可以为那些她不想读的人(流鼻涕的小哥哥或大哥、过夜客人等)提供“强大”的安全保障。然而,那个 80 美分的玩具锁在你保险箱的门上不会持续两秒钟,在那里你的房子的地契、你的汽车的所有权和你曾祖母的一次性 25 克拉钻石项链保留。
同样,银行网站所需的密码(或更准确地说是复合安全措施)将比在线论坛更强大,因为它保护的资源具有更大的物质值(value)。论坛的言论(尽管有一些著名的 Facebook 黑客案例导致照片泄露);如果黑客进入您的银行记录,他们可能会严重破坏您的生活。
因此,“MittensABC”将是大多数论坛可接受的密码,因为它的长度超过 8 个字符(26^8 = 大约 2080 亿个随机字母组合)并且包含大写和小写字母(“暴力破解”所需的样本空间)密码将是 52^10 = 144 千万个可能的 10 个字符区分大小写字符串组合)。但是,对于银行来说完全不够用:它主要由字典词组成,不同之处仅在于您添加了易于猜测的字母组合,因此“智能”破解算法可以减少初始样本空间到现代用法中的 10 万个左右的单词,并附加基本的字母和数字字符串,以提出可能有几百万种可能性(计算机的 child 游戏)。出于同样的原因,许多提供非常私密信息访问权限的网站不允许在密码中使用生日、SSN 等,因为如果这些信息被盗,它可以作为破解算法的提示,进一步减少初始可能的样本空间。
总之,什么是“好”密码取决于黑客/破解者坚持尝试破解该密码的可能性有多大。还有其他有用的工具,例如登录尝试之间的 10 秒冷却时间,或在 15 分钟内进行一定次数的尝试,这几乎不可能利用计算机的速度,但是智能算法、网站漏洞、或者一个愚蠢的用户都可以增加成功破解的机会。
关于forms - 密码强度算法的标准化,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/3755963/