设置好的密码,密码应该怎么设置比较好

  设置好的密码,密码应该怎么设置比较好

  国际电信联盟19日表示,如果互联网用户使用同一个用户名和密码登录多个网站,他们的身份将面临被窃取的严重风险。用户登录网上银行、旅行社、网上书店等网站时,不可避免地要重复输入用户名和密码。如果重复输入这两条信息,他们的身份被网络窃贼窃取的风险就会增加。

  认证系统相互独立,缺乏协作,这越来越给用户带来不便。只要你的密码符合这些标准,基本上网站都会奖励你一个绿色的强密码标志——好密码。但事实上,你和网站都错了。为什么?第一个原因是密码是如何被破解的。

  黑客如何破解密码?

  网站通过将输入的密码与数据库中的密码进行比较来验证用户。但这些密码一般不是明文存储,而是通过哈希算法单向加密,输出结果无法逆向工程。比如“123456”的SHA-1哈希算法的结果是7110 EDA 4d 09 e 062 a a5 E4 a 390 b 0a 572 AC 0d 2c 0220,通过这个结果无法知道原密码。

  然后,用户登录时输入的密码会被同样的哈希算法计算出来,然后与数据库中存储的正确密码哈希进行比较。如果一致,则输入的密码是正确的。

  获得哈希密码文件的黑客可以使用暴力破解来比较哪个帐户与哪个密码相关。他们可以从简单的密码开始,可以从以前的攻击字典或者通用字典中查找,然后结合单词。

  如果密码长度短,使用的字符集只有大小写,破解速度会快很多。黑客可以使用彩虹表(预先计算的哈希值)来加速暴力破解。按理说,使用复杂且不常用的密码应该是个不错的选择(比如像Spooning1!因为不常见,所以很难被列入彩虹榜。但事实并非如此。

  因为目前的计算能力已经很强了,使用普通电脑结合显卡阵列的GPU能力,暴力破解法每秒可以处理10亿到1000亿个用SHA-1算法加密的密码。但如果密码有11、12位或以上,并且是在所有可能的字符中随机生成的,即使有如此强大的计算能力,暴力破解法也很难破解(本文为整理发布)。

  讲故事,设置密码。

  但问题是大部分人都不会用随机生成的密码。当然,人们不使用随机密码是有原因的,因为随机密码很难记住(大脑机制就是这样,很难记住随机的字母数字符号组合)。但麻烦来了,因为那些“好密码”规则已经被黑客们熟知了。马库斯雅各布松指出,这实际上是密码设置的安全性和可用性之间的矛盾。

  雅各布松在研究中发现,有人因为喜欢苹果而在密码中使用“苹果”,但网站要求大写字母,于是他把第一个字母改成了a,可能网站说不安全,必须有数字和字母。通常,用户会选择最简单的方式来满足规则,添加1,然后添加另一个!——“苹果1!”。按照之前的密码设置规则,“Apples1!”毫无疑问是个好密码(至少和那些烂密码比起来)。

  而黑客在破解时往往也是这么做的,利用字典和单个字母替换,以及上述常用的数字和符号扩展来缩短破解时间(比如利用马尔可夫链技术进行预测)。2013年年中,三位安全专家使用一个泄露的数据库进行测试,1小时成功率为60%,而20小时成功率达到90%。

  相反,雅各布松建议用户使用所谓的“快速写词”方法来设置密码,即几个词组织成一个故事,形成密码组合。比如跑步时踩到一只松鼠,可以很快记住是“跑林松鼠”。这种方法因为有故事情节,所以容易记忆,但是因为使用的字符数通常超过10到12,所以暴力破解很难破解,除非破解者使用单词组合等其他技术。但是单词组合的可能性几乎是无限的,暴力破解几乎无解。

  说了这么多,设置密码不能乱讲故事。研究人员发现,通过“快速密码”方法设置的密码的安全性取决于所使用的组合在语料库中出现的概率。比如微软的语料库Web N-gram服务中常见的“我爱你亲爱的”出现的频率是2/100,000,000,这是一个比较糟糕的密码。而讲述工作中不小心踩到一只青蛙的故事《蛙功平》出现率只有百万分之一的三次方,强度非常高。所以,要得到一个好的密码,关键是要把你的故事讲好。

  然而,密码学家认为,与仅仅设置密码相比,更好的方法是广泛采用双因素认证来确保安全,这样不安全的密码就不会成为抵御攻击的唯一屏障。

  密码是个人网络信息安全的关键。在网络高度发达的今天,网上黑手横行。我们应该如何设计自己的安全密码来保证网上银行、网上信息、网上交易的安全?这是一个应该引起我们关注的问题。为了网上身份认证的安全,有必要设计一套科学的密码。我们特别推荐文中提到的三套密码设计方法。

设置好的密码,密码应该怎么设置比较好