越复杂的密码是否越安全

2023年7月31日发(作者：)

防火墙计算机与网络越复杂的密码是否越安全■朱荣如何在网络社会中保护自己的个人隐私，长久以来都是一个让人挥之不去的现实问题。几十年的积累，现代人已经完全掌握了密码的“构造”方法，自认为从此便可以真的高枕无忧，然而事实却远非如此。决定密码安全等级的关键是什么？那么问题来了，决定密码安全等级的关键是什么？答案是：密码长度。我们用信息学中的信息熵（对信息多少的量化称信息熵）作为评估密码强度的标准，其计算公式为H=L×log2N（L表示密码长度），至于当中N的取值我们还是来看看下面这个表格。根据公式可以知道，密码强度（H）与密码长度（L）和字符种类（N）两者有关。假设密码的长度单位是比特，8个比特为一个字节，如果一台计算机的计算能力为每秒完成256次组合运算，破解8个字符组成的密码仅需4分16秒；若密码长度为16个字符，破解它需要2898年。当然，我们只是举了一个比较极端的例子。实际上，只有95（26个小写字母+26个大写字母+10个数字+33个标点符号）个字符能用来当做传统的密码使用（生物识别另说）。一旦我们的头脑中形成思维定势，往往很容易被这种思维“惯性”所左右，例如当环境或事物发生变化时，它会妨碍我们积极的去思考，或是失去辩证看问题的能力而走进那些我们没有查觉的误区当中。例如，当被问到“是否越复杂的密码也就越安全”这一问题时，相信绝大多数的人会回答是，然而答案却是否定的。这样的误区你有吗？通常我们会认为将账号密码设置的越复杂越好，例如将一个长字符的单词打散后在将其无规律的重新组合起来，并深信不疑的认为这样别人就很难猜到，然而这么做除了难为你自己以外，并不会对那些偷窥者造成“掉血”式的杀伤力。但对于那些企图窃取别人隐私的人来说，他们大可不必靠脑力运用概率去猜密码，而是只需将“解密”这件事交给计算能力更强运算速度更快的计算机处理就行。另一方面，随着网络社会的快速发展，账号多了密码也随之增多，为了方便记忆，很多人都会为不同的账号设置相同或相似的密码，这些使用相似密码的账号，其安全隐患无疑是显而易见的。当然，也有一部分人意识到了此问题的严重性，为了避免这种情况而选择将密码分成两部分，一个是例如123456的主要部分，另一个则根据不同账户来定，例如QQ密码设为qq123456，Gmail密码则设置成gmail123456等等诸如此类，倒是颇有掩耳盗铃的意味。实际上，这才是真正危险的，因为一旦一个账户的密码被破解，很容易就看清其密码的设置规律。介于以上种种，也有不少人将自己的密码设置的既复杂又长，然而在一次次的“设置-遗忘-设置”循环中，我们开始倾向性地选择那些常用信息作为自己的密码，例如姓名、生日、电话等等，这为暗处的黑客创造了肆意作恶的机会。有人曾专门研究人们设置密码时的偏好，发现大多数的人都喜欢用人名、地名、字典词汇和数字来设置自己的密码，还有少数人直接把用户名当做密码，然而不管哪种都存在极大的安全隐患。一旦黑客掌握了这些“偏好”，只需编写一个密码字典，就能暴力破解这些账号的密码。如何设置一个靠谱的密码？一个好密码应当兼顾安全性与可用性。这里我们给出一些设置密码的方法，希望能够帮助各位创建一个无法破解的密码。BruceSchineier方法。这是2008年提出的一种密码思路，即找一个句子（可以是任何一句话），将句子中的每一个单词找出来，缩略为一个字母，然后通过独特的方式组合成为一段密码，最后一句话生成一个密码。例如，Wowimp::ohth3r→WhereohwhereismypearOh,there。56计算机与网络防火墙什么密码才不易被黑客破解密码最佳实践是众所周知的，但它们真的是最好的吗？在过去的几十年中，大多数公司已经实施了他们认为是基本密码标准的内容。这些通常包括：确保由数字，字母（大写和小写）字符以及特殊符号和类似字符组成的复杂密码；强制用户定期更改密码；要求用户先前未使用的新密码。这些准则已被广泛接受，因此我们看到支付卡行业数据安全标准（PCIDSS）中的要求规定密码应每90天更换一次。但是，像所有成熟的技术政策一样，重要的是不时停下思考，并评估该政策在不断变化的环境中是否有意义。这正是美国国家标准与技术研究院（NIST）为密码准则所做的。我们应该忘记几十年来我们已经习以为常的最佳实践，并将新常态应用于密码管理实践。让我们来看看一些常用的密码安全实践，并与NIST的更新建议进行比较。情结不一定强我们似乎永远不得不选择包含数字字符，大小写字母和特殊字符变体的密码，以使密码复杂化。但是，NIST已经声明这不会导致更强的密码，并且这种做法应该被替代为对密码选择更加动态的支持。NIST建议组织通过检查选择的密码来防止已知泄露的泄露数据和已知的弱密码，从而支持用户选择更好的密码。很难说这个练习是不可能的，因为互联网上有大量诸如HashCat和类似的密码测试工具等工具的可用性使得密码选择的质量检查相当容易。越长越好，并允许剪切和粘贴我们都遇到过例子，你的密码长度不能超过8或10个字符。这可以在全球一些较大的组织中看到，毫无疑问，因为遗留系统的限制。NIST对密码长度的建议很明确。它表明应该允许至少64个字符的密码。此外，应确保用户可以粘贴到密Electrum钱包法。知晓比特币的朋友大概都知道钱包的“密码”地址是怎样形成的。Electrum是一个比特币钱包服务，能够为用户的比特币钱包地址，通过哈希机制转换为一个12个单词组成的助记码。。PAO法。其实，是卡耐基梅隆大学计算机科学家建议使用的一种名为‘人-动作-物品’（即Person-Action-Object，PAO）的密码助记方法，来创建和记忆高安全性的密码。大致方法就是，找一个有趣的地方的一张照片、找一个你熟悉的人而破坏了密码管理器的自动使用。密码提示■宋明成码数据输入字段中，鼓励和支持使用密码管理器。奇怪的是，一些网站目前阻止用户将他们的密码粘贴到表单字段中，从恢复忘记密码的流行趋势是允许用户重置密码，如果他们成功回答提示问题，如他们的第一辆汽车或他们最喜欢的老师的问题。提示问题的质量通常可能会令人满意。低水平的问题加上现在在社交媒体上分享的个人信息削弱了密码提示的使用。NIST建议我们停止使用提示问题作为帮助用户恢复帐户访问的手段。定期更改除了NIST的建议之外，国内黑客安全组织东方联盟研究人员也曾表示：不建议常改密码，即在黑客拥有您不知情的情况下获得信息的情况下，定期更改您的密码。反对这种做法的论点在于选择密码序列或模式的人性特征，以减轻记忆密码的工作量。因此，用户倾向于在当前密码末尾添加数字或其他增量字符，并在每次被迫更改密码时增加该字符数。这使得密码较弱，不推荐这种做法。执行密码测试如果您不能在用户生成或更改其密码时执行内嵌密码检查，请务必提供非常规密码强度检查。运行Hashcat等工具并识别弱密码，并为用户更改所有弱密码。停止强制定期更改密码，当用户怀疑自己的密码不再是秘密时，应该更改密码。但在正常情况下，密码不应经常更改。或名人的照片、想象这个人在这个地方做的一件事，例如傻脸娜在家做饭（selenagomezcookathome），形成sgcoho这样一个随机的6位密码，当然你可以创建不同长度的密码。发音和肌肉记忆法。随便找一个密码生成器，生成至少20个至少10位长的密码，当然要包括数字和字母，反复看并找到一些和单词类似的发音结构，找到那些勉强能够发音出来的密码，而且能够大概写成短句的，例如drEnaba5Et→doctorenaba5E.T.，又或是BragUtheB5→bragyoutheV5。57

2023年7月31日发(作者：)

防火墙计算机与网络越复杂的密码是否越安全■朱荣如何在网络社会中保护自己的个人隐私，长久以来都是一个让人挥之不去的现实问题。几十年的积累，现代人已经完全掌握了密码的“构造”方法，自认为从此便可以真的高枕无忧，然而事实却远非如此。决定密码安全等级的关键是什么？那么问题来了，决定密码安全等级的关键是什么？答案是：密码长度。我们用信息学中的信息熵（对信息多少的量化称信息熵）作为评估密码强度的标准，其计算公式为H=L×log2N（L表示密码长度），至于当中N的取值我们还是来看看下面这个表格。根据公式可以知道，密码强度（H）与密码长度（L）和字符种类（N）两者有关。假设密码的长度单位是比特，8个比特为一个字节，如果一台计算机的计算能力为每秒完成256次组合运算，破解8个字符组成的密码仅需4分16秒；若密码长度为16个字符，破解它需要2898年。当然，我们只是举了一个比较极端的例子。实际上，只有95（26个小写字母+26个大写字母+10个数字+33个标点符号）个字符能用来当做传统的密码使用（生物识别另说）。一旦我们的头脑中形成思维定势，往往很容易被这种思维“惯性”所左右，例如当环境或事物发生变化时，它会妨碍我们积极的去思考，或是失去辩证看问题的能力而走进那些我们没有查觉的误区当中。例如，当被问到“是否越复杂的密码也就越安全”这一问题时，相信绝大多数的人会回答是，然而答案却是否定的。这样的误区你有吗？通常我们会认为将账号密码设置的越复杂越好，例如将一个长字符的单词打散后在将其无规律的重新组合起来，并深信不疑的认为这样别人就很难猜到，然而这么做除了难为你自己以外，并不会对那些偷窥者造成“掉血”式的杀伤力。但对于那些企图窃取别人隐私的人来说，他们大可不必靠脑力运用概率去猜密码，而是只需将“解密”这件事交给计算能力更强运算速度更快的计算机处理就行。另一方面，随着网络社会的快速发展，账号多了密码也随之增多，为了方便记忆，很多人都会为不同的账号设置相同或相似的密码，这些使用相似密码的账号，其安全隐患无疑是显而易见的。当然，也有一部分人意识到了此问题的严重性，为了避免这种情况而选择将密码分成两部分，一个是例如123456的主要部分，另一个则根据不同账户来定，例如QQ密码设为qq123456，Gmail密码则设置成gmail123456等等诸如此类，倒是颇有掩耳盗铃的意味。实际上，这才是真正危险的，因为一旦一个账户的密码被破解，很容易就看清其密码的设置规律。介于以上种种，也有不少人将自己的密码设置的既复杂又长，然而在一次次的“设置-遗忘-设置”循环中，我们开始倾向性地选择那些常用信息作为自己的密码，例如姓名、生日、电话等等，这为暗处的黑客创造了肆意作恶的机会。有人曾专门研究人们设置密码时的偏好，发现大多数的人都喜欢用人名、地名、字典词汇和数字来设置自己的密码，还有少数人直接把用户名当做密码，然而不管哪种都存在极大的安全隐患。一旦黑客掌握了这些“偏好”，只需编写一个密码字典，就能暴力破解这些账号的密码。如何设置一个靠谱的密码？一个好密码应当兼顾安全性与可用性。这里我们给出一些设置密码的方法，希望能够帮助各位创建一个无法破解的密码。BruceSchineier方法。这是2008年提出的一种密码思路，即找一个句子（可以是任何一句话），将句子中的每一个单词找出来，缩略为一个字母，然后通过独特的方式组合成为一段密码，最后一句话生成一个密码。例如，Wowimp::ohth3r→WhereohwhereismypearOh,there。56计算机与网络防火墙什么密码才不易被黑客破解密码最佳实践是众所周知的，但它们真的是最好的吗？在过去的几十年中，大多数公司已经实施了他们认为是基本密码标准的内容。这些通常包括：确保由数字，字母（大写和小写）字符以及特殊符号和类似字符组成的复杂密码；强制用户定期更改密码；要求用户先前未使用的新密码。这些准则已被广泛接受，因此我们看到支付卡行业数据安全标准（PCIDSS）中的要求规定密码应每90天更换一次。但是，像所有成熟的技术政策一样，重要的是不时停下思考，并评估该政策在不断变化的环境中是否有意义。这正是美国国家标准与技术研究院（NIST）为密码准则所做的。我们应该忘记几十年来我们已经习以为常的最佳实践，并将新常态应用于密码管理实践。让我们来看看一些常用的密码安全实践，并与NIST的更新建议进行比较。情结不一定强我们似乎永远不得不选择包含数字字符，大小写字母和特殊字符变体的密码，以使密码复杂化。但是，NIST已经声明这不会导致更强的密码，并且这种做法应该被替代为对密码选择更加动态的支持。NIST建议组织通过检查选择的密码来防止已知泄露的泄露数据和已知的弱密码，从而支持用户选择更好的密码。很难说这个练习是不可能的，因为互联网上有大量诸如HashCat和类似的密码测试工具等工具的可用性使得密码选择的质量检查相当容易。越长越好，并允许剪切和粘贴我们都遇到过例子，你的密码长度不能超过8或10个字符。这可以在全球一些较大的组织中看到，毫无疑问，因为遗留系统的限制。NIST对密码长度的建议很明确。它表明应该允许至少64个字符的密码。此外，应确保用户可以粘贴到密Electrum钱包法。知晓比特币的朋友大概都知道钱包的“密码”地址是怎样形成的。Electrum是一个比特币钱包服务，能够为用户的比特币钱包地址，通过哈希机制转换为一个12个单词组成的助记码。。PAO法。其实，是卡耐基梅隆大学计算机科学家建议使用的一种名为‘人-动作-物品’（即Person-Action-Object，PAO）的密码助记方法，来创建和记忆高安全性的密码。大致方法就是，找一个有趣的地方的一张照片、找一个你熟悉的人而破坏了密码管理器的自动使用。密码提示■宋明成码数据输入字段中，鼓励和支持使用密码管理器。奇怪的是，一些网站目前阻止用户将他们的密码粘贴到表单字段中，从恢复忘记密码的流行趋势是允许用户重置密码，如果他们成功回答提示问题，如他们的第一辆汽车或他们最喜欢的老师的问题。提示问题的质量通常可能会令人满意。低水平的问题加上现在在社交媒体上分享的个人信息削弱了密码提示的使用。NIST建议我们停止使用提示问题作为帮助用户恢复帐户访问的手段。定期更改除了NIST的建议之外，国内黑客安全组织东方联盟研究人员也曾表示：不建议常改密码，即在黑客拥有您不知情的情况下获得信息的情况下，定期更改您的密码。反对这种做法的论点在于选择密码序列或模式的人性特征，以减轻记忆密码的工作量。因此，用户倾向于在当前密码末尾添加数字或其他增量字符，并在每次被迫更改密码时增加该字符数。这使得密码较弱，不推荐这种做法。执行密码测试如果您不能在用户生成或更改其密码时执行内嵌密码检查，请务必提供非常规密码强度检查。运行Hashcat等工具并识别弱密码，并为用户更改所有弱密码。停止强制定期更改密码，当用户怀疑自己的密码不再是秘密时，应该更改密码。但在正常情况下，密码不应经常更改。或名人的照片、想象这个人在这个地方做的一件事，例如傻脸娜在家做饭（selenagomezcookathome），形成sgcoho这样一个随机的6位密码，当然你可以创建不同长度的密码。发音和肌肉记忆法。随便找一个密码生成器，生成至少20个至少10位长的密码，当然要包括数字和字母，反复看并找到一些和单词类似的发音结构，找到那些勉强能够发音出来的密码，而且能够大概写成短句的，例如drEnaba5Et→doctorenaba5E.T.，又或是BragUtheB5→bragyoutheV5。57