什么是在线密码强度计的最佳替代方案?
人们不会为了它的乐趣而创建在线帐户。他们这样做是因为他们想要使用特定服务,并且在许多情况下,他们希望尽快使用它。因此,大多数用户都非常急于在创建帐户时停下来思考密码的强度。通常,他们在破解后会考虑它。如果有什么东西可以改变这种行为怎么办?
你们都见过他们。您在帐户创建过程中输入密码,密码强度计会告诉您它对它的看法。有些人将密码归类为弱,平庸和强大。其他人给你一个分数,其他人仍然使用红色/琥珀色/绿色指示。这个想法是,如果你试图设置一个弱密码,强度计会告诉你它,也会鼓励你想到一个更强大的密码。有用。至少到了一点。
人们一直在研究密码强度计的有效性,并且他们得出的结论是,总体而言,当用户被告知他们的密码达不到标准时,他们更有可能想到更复杂的密码。
因此,密码强度计不仅仅是一个噱头。它们确实有用,并且在某些情况下它们的存在会导致更复杂的密码,这意味着它们应该保留。麻烦的是,他们中的大多数实际上并没有按照他们所说的去做。
Table of Contents
为什么你不应该盲目信任密码强度计
我们来做一个简单的实验。转到Google,搜索“密码强度计”,您将获得的第一批结果之一是www.passwordmeter.com 。 注意:如果您要测试passwordmeter.com,请确保您不使用自己的密码。向Google上的随机网站提供敏感信息通常是一个坏主意,最重要的是,这个特定的信息通过HTTP提供,而不是HTTPS,这意味着它不是非常安全。
对于我们的实验,我们将使用“P @ ssword!”。我们选择了这个,因为很多人可能会认为,除了容易记住之外,它还有合适的强度,最后是“@”和感叹号。实际上,这也是passwordmeter.com的想法。它给出了“P @ ssword!”得分为68%,并将其复杂程度评为“强势”。
公平地说,在passwordmeter.com上有一个免责声明,称该工具“ 既不完美也不万无一失 ”,这个例子很好地说明了这一点。大多数人现在应该知道“P @ ssword!”不是一个强密码,那些不密码的人应该打开这个链接 。这是一个包含大约16,000个常用密码的字典,任何人都可以从GitHub下载。如果向下滚动到第2,692行,您将看到“P @ ssword!”。所以,使用这个特定字典的黑客需要猜不到3千才能获得你的密码。 今天的工具并不是很多。
大多数密码强度计的问题
问题在于大多数密码强度计依靠算法来估计密码对暴力攻击的弹性. 一般来说,这取决于字符的数量和种类,但是一些密码计还可以查找诸如一系列数字(例如,“123”)和组合在一起的相同字母之类的内容。事情就是这样 - 蛮力攻击是一种古老而无效的猜测密码的方式。
在过去十年左右发生的数百次数据泄露事件暴露了数以百万计的密码。结果,像我们之前谈到的那些字典被编译,这使得黑客的工作变得更加容易。感谢这些词典,坏人知道常用词和模式的类型(例如,将“a”替换为“@”)人们使用他们的密码,他们可以做出明智的猜测。
这些明智的猜测意味着在破解“P @ ssword!”的同时。用蛮力可能需要一段时间,用字典破解它需要几毫秒。
zxcvbn - 规则的例外
2012年,Dropbox的专家开发并开源zxcvbn--一种用于估算密码强度的改进算法。除了确定密码抵御暴力攻击的能力之外,它还专注于发现我们谈论的一些模式以及常用词。专家们一致认为这是估算当前可用密码强度的最佳算法,这就是为什么它也在Cyclonis Password Manager的密码分析器中实现的原因。
当然,它仍然是一种算法,你不能认为它在100%的时间都是正确的。尽管如此,在确定黑客破解密码的可能性时,zxcvbn需要不止一个因素,这使得它从人群中脱颖而出。
密码强度计可以过时吗?
人们继续自己创建密码,他们继续犯错误,这意味着鼓励他们做得更好的必要性肯定存在。如果他们使用密码生成器来创建他们的密码,强度计,无论他们基于哪种算法,都会始终说密码很强。那是因为它会。
自动密码生成器创建一个随机的字符串,而不使用使密码易于记忆的模式或单词。如果密码生成器成为常态而不是例外,我们可能只是挥动力量米再见。在那之前,他们将留在这里。
