密码强度
密码强度指一个密码被非认证的用户或计算机破译的难度。 密码强度通常用“弱”或“强”来形容。“弱”和“强”是相对的,不同的密码系统对于密码强度有不同的要求。密码的破译与系统允许客户尝试不同密码的次数、是否熟悉密码主人等因素相关。然而,即使再强的密码也有可能被偷取、破译或泄漏。
[编辑] 弱密码弱密码包括短密码、常见的密码、系统默认密码,还包括可以被穷举法通过排列组合破解的密码,这些密码通常由一些可能被用作密码的词组成,如字典里的单词、真实姓名或与用户名相关的词,这些密码可以被快速破译。采用生日或者宠物的名字作为密码也是弱密码,因为有可能被熟人轻易猜出。[1]
下面是一些常见的弱密码:
admin -- 太容易猜出
1234 -- 太容易猜出
888888 -- 由于文化因素极其常用
abc123 -- 太容易猜出
susan -- 常见人名
monkey -- 常见动物名且正好六位
password -- 经常被使用,极易猜出
p@$$//0rd -- 简单的字母替换,极易被黑客软件破译
rover -- 宠物的常用名称,也是一个单词
12/3/75 -- 日期
nbusr123 -- 可能是用户名,如果是这样的话很容易被猜出
asdf -- 常用键盘的键排列
qwerty -- 常用键盘的键排列
aaaa -- 重复的字母,极易被破解
上面的列表只是列举了很少一部分弱密码。
据统计,3.8% 的密码是字典里的单词,12% 的密码是单词加一个数字,其中 2/3 的机会密码是数字 1 。[2]
很多用户不更换默认密码,而大部分计算机系统的默认密码可以在网上找到,极易被破解。[3]
如果用户使用个人信息(例如学生编号,朋友的名字,熟人的生日,电话号码,驾驶执照号码等)作为密码,那么这个密码便会很容易被破解,因为如今很多个人的信息都可以在网络上找到。
太短的密码,虽然很容易输入,但是很容易被黑客攻破。
强密码一个强密码通常长度足够长,排列随机,这样就需要花很多时间才能够破译。
下面是强密码的一些例子:
t3wahSetyeT4 -- 不是字典的单词,既有数字也有字母
4pRte!ai@3 -- 不是字典的单词,除大小写字母、数字外还有标点
MoOoOfIn245679 -- 长,既有数字也有字母
Convert_100£ to Euros! -- 足够长,并且有扩展符号增加强度
1382465304H -- 一串数字的混合,加以字母作为结尾,通常是学校或公司的密码
Tpftcits4Utg! -- 一串随机的各种元素的混合,等同于宣告“这个密码太强了,不可能破解!”
akd,H‰‘U‘(#t*’№&*§÷×’u -- 含键盘上没有的字符
'注意:上面列出的密码不再是强密码,因为他们已经公布在网络上。
上面列出的强密码的例子的共同特点是相对较长,使用大小写字母、数字和符号的组合。密码越长,使用的符号种类越多,就越难破解。值得注意的是,有些系统不支持"#"、"@"和"!"作为密码中的字符,因为这些字符可能在有些键盘很难找到。在这种情况下,增加其它的数字或字母可以达到同样的安全效果。
一个10位长的随机密码,比如'4pRte!ai@3',由于常用键一共为95个,因此有A(95,10)种排列,是不可能在短时间内通过全部列举来破译的。通常认为7位以上非单词密码是一个较好的密码。
[编辑] 保护用户密码
通常,计算机用户被建议“不要在任何地方因任何原因写下密码”或“不要在不同的帐号使用同一个密码”。实际上,一个计算机用户通常有十几个密码保护的帐号,并使用同一个密码。而那些试图使用不同密码的用户往往由于密码太多,而记不清哪个帐户和哪个密码相对应。2005年的一次安全会议上,来自微软的一个专家提出:“我认为密码策略应改为你可以写下你的密码。我有68个不同的密码,如果我不允许将他们写下来,我将怎么办?我不得不使用同样的密码。”[4]比较好且实际的建议是在一个低安全性的帐号(如bbs)使用简单的密码,在高安全性的程序(如在线银行)使用强密码。
一旦密码被写下来,用户不能将它放在一些明显的地方,如通信录,抽屉等。最糟糕可能也是最常见的情况是密码被写在一张便条纸上,放在计算机附近。比较安全的做法是放在保险柜里。