密码强度

维基百科,自由的百科全书
跳转至: 导航搜索

密码强度指一个密码被非认证的用户或计算机破译的难度。 密码强度通常用「弱」或「强」来形容。「弱」和「强」是相对的,不同的密码系统对于密码强度有不同的要求。密码的破译与系统允许客户尝试不同密码的次数、是否熟悉密码主人等因素相关。然而,即使再强的密码也有可能被破译、窃取或泄漏。如果要测密码的强弱,可以使用密码安全鉴定器。[1]

弱密碼[编辑]

弱密码是易于猜测的密码,主要有以下几种:

  1. 顺序或重复的字符:“12345678”、“111111”、“abcdefg”、“asdf”、“qwer”键盘上的相邻字母;
  2. 使用数字或符号的仅外观类似替换,例如使用数字“1”、“0”替换英文字母“i”、“O”,字符“@”替换字母“a”等;
  3. 登录名的一部分:密码为登录名的一部分或完全和登录名相同;
  4. 常用的单词:如自己和熟人的名字及其缩写,常用的单词及其缩写,宠物的名字等;
  5. 常用数字:比如自己或熟人的生日、证件编号等,以及这些数字与名字、称号等字母的简单组合。

下面是一些常見的弱密碼:

  • admin -- 太容易猜出
  • 123 -- 太容易猜出
  • abcde -- 太容易猜出
  • 123456 -- 由于文化因素极其常用
  • 1234 -- 由于文化因素极其常用
  • 888888 -- 由于文化因素极其常用
  • 1234567890 -- 由于文化因素极其常用
  • abc123 -- 太容易猜出
  • susan -- 常見人名
  • monkey -- 常见动物名且正好六位
  • password -- 經常被使用,極易猜出
  • p@$$\/\/0rd -- 簡單的字母替換,易被黑客軟件破譯
  • rover -- 寵物的常用名稱,也是一個單詞
  • 12/3/75 -- 日期
  • nbusr123 -- 可能是用戶名,如果是這樣的話很容易被猜出
  • asdf -- 常用鍵盤的鍵排列
  • qwerty -- 常用鍵盤的鍵排列
  • aaaaa -- 重複的字母,極易被破解

上面的列表只是列舉了很少一部分弱密碼。

此外,一家美国公司SplashData曾经总结出2011年最弱的25个密码,其中有的已经列在上面。而像let me in这样的密码由于属于常见词组且正好六位,很容易被破译。[2]

據統計,3.8% 的密碼是字典裡的單詞,12% 的密碼是單詞加一個數字,其中 2/3 的機會密碼是數字 1 。[3]

很多用戶不更換預設密碼,而大部分計算機系統的預設密碼可以在網上找到,極易被破解。[4]

如果用戶使用個人信息(例如學生編號,朋友的名字,熟人的生日,電話號碼,駕駛執照號碼等)作為密碼,那麼這個密碼便會很容易被破解,因為如今很多個人的信息都可以在網絡上找到。

太短的密碼,雖然很容易輸入,但是很容易被黑客攻破。

强密码[编辑]

一个强密码通常长度足够长,排列随机,这样就需要花很多时间才能够破解。

下面是强密码的一些例子:

  • t3MEIfreryeT45410A -- 不是字典的单词,既有数字也有字母
  • Convert_100£ to Euros! -- 足够长,并且有扩展符号增加强度
  • *ot$fet÷×’Fr54⅛9&%u -- 含键盘上没有的字符
  • 9fad37a6aab5912dfa273521d11e0175fa0e8c95 -- 隨機字串
  • aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaabbbbbbbbbbbbccdeertttteferwrwerewrwererewreew -- 很长的字串几乎不可能破解
  • hellomicrosoftwikiwikipediaandadminadmintestactioneditsection -- 同上

注意:上面列出的密码雖然是强密码,但因为其已经公布在网络上(上面),所以已不再安全。

上面列出的强密码的例子的共同特点是相对较长,使用大小写字母、数字和符号的组合。密码越长,使用的符号种类越多,就越难破解。值得注意的是,有些系统不支持"#"、"@"和"!"作为密码中的字符,因为这些字符可能在有些键盘很难找到。在这种情况下,增加其它的数字或字母可以达到同样的安全效果。

一个10位长的随机密码,比如'BpR#e!ai@$',雖然強度遠弱於上面列出的密码,但由于常用键一共为95个,因此有95^{10}种组合,是不可能在短时间内通过全部列举来破译的。

强密码应该包括14个字符或更长(至少8个字符或更长),由包括大小写字母、数字和符号在内的组合。[5]

保护用户密码[编辑]

通常,计算机用户被建议“不要在任何地方因任何原因写下密码”或“不要在不同的帐号使用同一个密码”。实际上,一个计算机用户通常有十几个密码保护的帐号,并使用同一个密码。而那些试图使用不同密码的用户往往由于密码太多,而记不清哪个帐户和哪个密码相对应。2005年的一次安全会议上,来自微软的一个专家提出:“我认为密码策略应改为你可以写下你的密码。我有68个不同的密码,如果我不允许将他们写下来,我将怎么办?我不得不使用同样的密码。”[6]比较好且实际的建议是在一个低安全性的帐号(如bbs)使用简单的密码,在高安全性的程序(如在线银行)使用强密码。

一旦密码被写下来,用户不能将它放在一些明显的地方,如通信录,抽屉等。最糟糕可能也是最常见的情况是密码被写在一张便条纸上,放在计算机附近。比较安全的做法是放在保險箱裡。

参考[编辑]

外部连接[编辑]