如果服務提供商不允許添加符號和特殊字符,如何創建強密碼
我們過去曾討論過密碼要求,可以肯定地說我們都知道它們存在的原因 - 他們的目標是阻止用戶使用簡單易用的密碼。然而,許多專家,包括編寫NIST密碼指南的專家,都不確定它們是否有效。他們認為強制使用特殊字符和數字會給用戶帶來額外的壓力,而不必提高密碼的安全性。但那相反呢?
當用戶被迫不使用特殊字符時會發生什麼?
Table of Contents
為什麼有些網站會禁止密碼中的特殊字符?
多年來,人們一直在告訴我們使用更多種類的符號,當你看到一個網站禁止你在你的密碼中包含“=”或“:”時,這似乎有些奇怪。信不信由你,他們這樣做是出於安全考慮。至少這是他們的想法。
通過禁止使用特殊字符,他們試圖限製成功的SQL注入攻擊的風險。當網絡犯罪分子使用網站上的字段(例如,您輸入密碼的字段)在Web應用程序上執行命令時,就會發生SQL注入。這些命令可能會暴露個人數據,導致信息丟失並造成破壞機會。
所有SQL命令都包含特殊字符,如果密碼字段拒絕處理特殊字符,它將拒絕處理SQL命令。這就是為什麼有些網站不允許您使用它們。
為什麼不是所有網站都禁止密碼中的特殊字符?
雖然這是一個相當古老的技巧,但作為攻擊媒介的SQL注入是網站運營商應該考慮的事情。然而,就預防而言,禁止密碼中的特殊字符是一種非常粗暴的方法。
還有許多其他有效方法可以抵禦此類攻擊,網站運營商也沒有理由不了解這些攻擊。此外,雖然許多用戶可能會認為在他們的寵物名稱的末尾添加“!@#”會使他們的密碼牢不可破,但是有些人非常清楚特殊字符帶來的好處。強迫他們使用較弱的密碼是一個非常糟糕的舉動。
總的來說,如果您與不允許在密碼中使用特殊字符的服務提供商進行業務往來,您可能想知道它的一些安全實踐很可能有點過時。由你來決定你對此做出了什麼,並且你還要確保儘管缺少特殊字符,但你的密碼足以保護你的數據。這裡有一些提示。
尋找長度和隨機性
正如我們最近討論的那樣 ,熵是一種測量方法,可以告訴您密碼是多麼容易暴力,正如我們在博客文章中提到的那樣,在所有其他條件相同的情況下,更長的密碼將具有更高的熵。事實上,多年來,人們一直在爭論,因為長度非常重要,所以你應該總是選擇密碼而不是密碼。不過,還有更多的東西。
熵是一種很好的方式,可以看出密碼對暴力的強大程度,但對於其他攻擊來說,它並沒有多大幫助. 例如,如果您使用喜愛的歌曲的名稱作為長密碼,並且您已經在Facebook上分享了這首歌數百次,攻擊者只需要幾分鐘的偵察就可以進行受過教育(並且可能是正確的) )猜。如果它們代表你的生日,那麼在密碼短語中添加數字也不會非常有用。
無論您是創建密碼還是密碼,都必須確保它盡可能隨機。
讓它獨一無二
許多專家認為, 憑證填充是現代互聯網用戶面臨的最大威脅之一,在過去幾個月中,我們確實看到涉及從一個網站竊取密碼並在另一個網站上使用的密碼的事件數量有所增加。在網絡安全方面, 密碼重用可以說是人們犯下的最簡單但最常見的錯誤,並且不難看出原因。
黑客的工具比以往任何時候都更先進,這意味著我們的密碼需要復雜和冗長。創造它們雖然有點令人討厭,但並不是什麼大問題。但是,由於我們有許多在線帳戶,並且因為它們都需要自己的唯一密碼,因此我們無法記住所有數據。看來我們陷入了Catch-22型的困境。謝天謝地,有一個解決方案。
讓機器做艱苦的工作
Cyclonis Password Manager旨在幫助用戶解決這個問題。它配有一個內置的密碼生成器,可以創建完全隨機的密碼,最長可達32個字符。為了滿足您註冊的網站的要求,您可以選擇密碼中的字符類型,借助瀏覽器擴展程序,您甚至無需切換窗口或手動複製粘貼任何東西。最重要的是,Cyclonis Password Manager可以將您的所有密碼保存在加密的保險庫中,這意味著您不必擔心忘記密碼。要了解有關其工作原理的更多信息,請單擊此處 。
