量子哈希
当我们需要创建或更改密码时,通常需要满足复杂性要求。然而,由于随机密码难以记忆,大多数人倾向于使用可预测的方式来创建密码,这使得攻击者更容易破解密码。那么,如何创建高强度的密码并增强账户安全性呢?本文作者对此进行了分析,下面我们一起来看看。
在创建或更改密码时,密码通常需要满足复杂性要求,例如包含大小写字母、数字和符号。根据下表,假设密码长度为8位,使用更大的字符集可以产生更多的组合,理论上攻击者必须尝试所有可能的组合才能破解密码。
然而,人们所创建的密码并不是随机的,因为随机密码难以记忆。研究表明,年轻人的短期记忆容量大约为7个数字、6个字母或5个单词。密码复杂性要求使记忆变得更加困难,这导致大多数人使用类似的、可预测的方式创建密码,从而使密码变得容易被破解。攻击者可以利用这些常见规律来进行字典攻击,例如将单词”password”替换为”P@ssw0rd”、”P@55word”或”P@55w0rd”等变体来破解密码。除了常见的替换,攻击者还可能尝试使用常见的单词或短语,并在末尾添加数字。字典攻击大大缩小了密码组合的范围,从而缩短了破解密码所需的时间。
即使密码是随机生成的,使用目前的技术,配备高度优化的密码破解软件的专用硬件(如高端GPU集群)可以每秒测试数十亿个密码组合。因此,攻击者可以在几分钟到几小时内破解密码。另一方面,用户很难记住随机生成的密码,可能会以不安全的方式存储密码,例如将其写在便条纸上并放在计算机附近。总的来说,从安全性和易记性的角度来看,密码复杂性要求的弊端大于其益处。
最初,建议在密码中使用混合字符类型是在2003年由Bill Burr在美国国家标准技术研究所(NIST)工作时提出的,他在2017年接受华尔街日报采访时公开道歉,称当时他没有依靠可靠的数据进行严谨研究,而是仅仅依赖于不合时宜的旧文件作为参考。他的建议也没有考虑到一般人的生活习惯和思考模式。因此,2017年6月,NIST发布了新版《NIST SP800-63》,其中更新了对密码的建议,不再强调在密码中使用混合字符类型,而是鼓励用户在合理范围内使用更长的密码或密码短语来增强安全性。
创建一个既长又容易记忆的密码可能具有挑战性,但以下方法可以提供帮助:
-
使用密码管理器:建议使用来自可信来源且受信任的密码管理器来存储密码。您只需记住一个主密码,即可访问所有保存的密码。这降低了使用弱密码、重复使用密码或忘记复杂密码的风险。此外,许多密码管理器可以自动填写登录信息,这可以节省时间并降低手动输入密码时出现拼写错误或其他错误的风险。
-
避免使用常见密码:避免使用常见的密码,如”123456″、”password”等。这些密码很容易被破解。
-
使用密码短语:考虑使用密码短语而不是单个单词或字符的组合。密码短语由多个单词组成,更容易记忆,同时也更难被破解。
-
添加特殊字符和数字:在密码中添加特殊字符和数字可以增加密码的复杂性。尽量避免将它们集中放置在密码的开头或结尾。
在处理密码创建和更改请求时,作为身份验证者,以下方法可以提供帮助:
- 不要仅依赖密码:即使是最强大的密码也可能被泄露。为了减轻这种风险,建议使用双因素身份验证(2FA)。2FA要求用户提供两种类型的身份验证因素才能访问其账户,从而为身份验证过程增加额外的安全层。常见的2FA类型包括短信验证码、身份验证器应用程序、硬件令牌和生物识别身份验证。
通过采取这些措施,我们可以更好地创建和管理密码,提高账户的安全性。
