什麼是在線密碼強度計的最佳替代方案?
人們不會為了它的樂趣而創建在線帳戶。他們這樣做是因為他們想要使用特定服務,並且在許多情況下,他們希望盡快使用它。因此,大多數用戶都非常急於在創建帳戶時停下來思考密碼的強度。通常,他們在破解後會考慮它。如果有什麼東西可以改變這種行為怎麼辦?
你們都見過他們。您在帳戶創建過程中輸入密碼,密碼強度計會告訴您它對它的看法。有些人將密碼歸類為弱,平庸和強大。其他人給你一個分數,其他人仍然使用紅色/琥珀色/綠色指示。這個想法是,如果你試圖設置一個弱密碼,強度計會告訴你它,也會鼓勵你想到一個更強大的密碼。有用。至少到了一點。
人們一直在研究密碼強度計的有效性,並且他們得出的結論是,總體而言,當用戶被告知他們的密碼達不到標準時,他們更有可能想到更複雜的密碼。
因此,密碼強度計不僅僅是一個噱頭。它們確實有用,並且在某些情況下它們的存在會導致更複雜的密碼,這意味著它們應該保留。麻煩的是,他們中的大多數實際上並沒有按照他們所說的去做。
Table of Contents
為什麼你不應該盲目信任密碼強度計
我們來做一個簡單的實驗。轉到Google,搜索“密碼強度計”,您將獲得的第一批結果之一是www.passwordmeter.com 。 注意:如果您要測試passwordmeter.com,請確保您不使用自己的密碼。向Google上的隨機網站提供敏感信息通常是一個壞主意,最重要的是,這個特定的信息通過HTTP提供,而不是HTTPS,這意味著它不是非常安全。
對於我們的實驗,我們將使用“P @ ssword!”。我們選擇了這個,因為很多人可能會認為,除了容易記住之外,它還有合適的強度,最後是“@”和感嘆號。實際上,這也是passwordmeter.com的想法。它給出了“P @ ssword!”得分為68%,並將其複雜程度評為“強勢”。
公平地說,在passwordmeter.com上有一個免責聲明,稱該工具“ 既不完美也不萬無一失 ”,這個例子很好地說明了這一點。大多數人現在應該知道“P @ ssword!”不是一個強密碼,那些不密碼的人應該打開這個鏈接 。這是一個包含大約16,000個常用密碼的字典,任何人都可以從GitHub下載。如果向下滾動到第2,692行,您將看到“P @ ssword!”。所以,使用這個特定字典的黑客需要猜不到3千才能獲得你的密碼。 今天的工具並不是很多。
大多數密碼強度計的問題
問題在於大多數密碼強度計依靠算法來估計密碼對暴力攻擊的彈性. 一般來說,這取決於字符的數量和種類,但是一些密碼計還可以查找諸如一系列數字(例如,“123”)和組合在一起的相同字母之類的內容。事情就是這樣 - 蠻力攻擊是一種古老而無效的猜測密碼的方式。
在過去十年左右發生的數百次數據洩露事件暴露了數以百萬計的密碼。結果,像我們之前談到的那些字典被編譯,這使得黑客的工作變得更加容易。感謝這些詞典,壞人知道常用詞和模式的類型(例如,將“a”替換為“@”)人們使用他們的密碼,他們可以做出明智的猜測。
這些明智的猜測意味著在破解“P @ ssword!”的同時。用蠻力可能需要一段時間,用字典破解它需要幾毫秒。
zxcvbn - 規則的例外
2012年,Dropbox的專家開發並開源zxcvbn--一種用於估算密碼強度的改進算法。除了確定密碼抵禦暴力攻擊的能力之外,它還專注於發現我們談論的一些模式以及常用詞。專家們一致認為這是估算當前可用密碼強度的最佳算法,這就是為什麼它也在Cyclonis Password Manager的密碼分析器中實現的原因。
當然,它仍然是一種算法,你不能認為它在100%的時間都是正確的。儘管如此,在確定黑客破解密碼的可能性時,zxcvbn需要不止一個因素,這使得它從人群中脫穎而出。
密碼強度計可以過時嗎?
人們繼續自己創建密碼,他們繼續犯錯誤,這意味著鼓勵他們做得更好的必要性肯定存在。如果他們使用密碼生成器來創建他們的密碼,強度計,無論他們基於哪種算法,都會始終說密碼很強。那是因為它會。
自動密碼生成器創建一個隨機的字符串,而不使用使密碼易於記憶的模式或單詞。如果密碼生成器成為常態而不是例外,我們可能只是揮動力量米再見。在那之前,他們將留在這裡。
