密碼是當代計算機系統(tǒng)基石,已被使用了數千年。當向他人共享信息時,密碼作為身份識別的方法,使信息在個人之間是密碼的。
什么樣的密碼是一個好的密碼?
一個好的密碼可能只是一個6到8個字符的單詞或短語。但是我們現在有了最小長度準則。在談論密碼時,熵是可預測性的度量。此操作背后的數學并不復雜,但讓我們以更簡單的方法進行檢查:可能的密碼數量,有時也稱為“密碼空間”。
如果一個字符的密碼僅包含一個小寫字母,則只有26種可能的密碼(“ a”至“ z”)。通過包含大寫字母,我們將密碼空間增加到52個潛在密碼。
隨著長度的增加和其他字符類型的增加,密碼空間將繼續(xù)擴大。
查看上面的數字,很容易理解為什么我們鼓勵使用長密碼,并使用大小寫字母,數字和符號。密碼越復雜,就需要進行更多的猜測。
但是,取決于密碼復雜性的問題在于,計算機在重復執(zhí)行任務(包括猜測密碼)方面非常高效。
去年,一臺試圖產生每個可能的密碼的計算機創(chuàng)下了新的記錄,它的速度超過了每秒100,000億次猜測。
通過利用這種計算能力,網絡犯罪分子可以在稱為蠻力攻擊的過程中,通過使用盡可能多的密碼組合對它們進行暴力破解來侵入系統(tǒng)。
借助基于云的技術,只需8分鐘即可猜到8個字符的密碼,而費用卻只有25美元。
此外,由于密碼幾乎總是用于提供對敏感數據或重要系統(tǒng)的訪問權限,因此這會激發(fā)網絡犯罪分子主動尋找它們。它還推動了利潤豐厚的在線市場銷售密碼,其中一些密碼包含電子郵件地址和/或用戶名。
密碼是如何存儲在網站上的?
網站密碼通常使用稱為哈希的數學算法以受保護的方式存儲。哈希密碼無法識別,無法將其轉換回密碼。
嘗試登錄時,將使用相同的過程對輸入的密碼進行哈希處理,并將其與站點上存儲的版本進行比較。每次登錄時都會重復此過程。
例如,使用SHA1哈希算法計算時,密碼“ Pa $$ w0rd”被賦予值“ 02726d40f378e716981c4321d60ba3a325ed6a4c”。自己嘗試一下。
當面對充滿散列密碼的文件時,可以使用蠻力攻擊,嘗試每種字符組合以獲取一定范圍的密碼長度。這已經成為一種常見的做法,以至于有些網站列出了常見密碼以及其(計算出的)哈希值。您可以簡單地搜索哈希以顯示相應的密碼。
現在,盜竊和出售密碼列表非常普遍,可以使用專門的網站 haveibeenpwned.com來幫助用戶檢查其賬戶是否存在。如今已經包括超過100億個帳戶詳細信息。
如果此站點上列出了您的電子郵件地址,則絕對應該更改檢測到的密碼,以及在使用相同憑據的任何其他站點上。
使用更復雜的密碼?
您會認為,每天發(fā)生如此多的密碼泄露事件,我們會改善密碼選擇的做法。不幸的是,去年的年度SplashData密碼調查顯示五年來幾乎沒有變化。
隨著計算能力的提高,該解決方案似乎會增加復雜性。但是,作為人類,我們不熟練(也不愿意)記住高度復雜的密碼。
我們還通過了僅使用兩個或三個需要密碼的系統(tǒng)的觀點。現在,訪問多個站點很普遍,每個站點都需要密碼(通常長度和復雜性各不相同)。最近的一項調查表明,平均每人有70-80個密碼。
好消息是有解決這些問題的工具。現在,大多數計算機都支持在操作系統(tǒng)或Web瀏覽器中存儲密碼,通常可以選擇在多個設備之間共享存儲的信息。
這不會阻止從易受攻擊的網站竊取密碼。但是,如果它被盜了,您將不必擔心在所有其他站點上更改相同的密碼。
這些解決方案中當然也存在漏洞,但這也許是另一回事了。
責編AJX
-
計算機
+關注
關注
19文章
7489瀏覽量
87873 -
密碼
+關注
關注
8文章
190瀏覽量
30498 -
哈希算法
+關注
關注
1文章
56瀏覽量
10744
發(fā)布評論請先 登錄
相關推薦
評論