被密码绑架的时代

指纹

从技术上来讲，密码长度要优先于复杂度。
以下举例，没验证过，懒
一个简单字母组合的16位密码，破解难度大于一个8位的带特殊符号的密码。
譬如：orangelemonapple 需要花的破解时间长于)$%*star
如果这个定理成立，那么选择一个易记的短语要比组合一堆字母数字符号作为密码更有效

snapdragon

指纹 发表于 25-8-2020 21:30
从技术上来讲，密码长度要优先于复杂度。
以下举例，没验证过，懒
一个简单字母组合的16位密码，破解难度 ...

指纹，这段太有逻辑了。
你……什么时候交作业

欧阳京

指纹 发表于 25-8-2020 21:30
从技术上来讲，密码长度要优先于复杂度。
以下举例，没验证过，懒
一个简单字母组合的16位密码，破解难度 ...

我用四字成语拼音做密码，我不信谁能破解。

指纹

annahw 发表于 26-8-2020 10:58
指纹，这段太有逻辑了。
你……什么时候交作业

搬运一段网上的论证：

如果一个8位的密码只含有大小写字母，会构成52的8次方个组合 ==53,459,728,531,456

还是8位，加上10个数字，10个特殊字符，构成72的8次方个组合 ==722,204,136,308,736

那么如果密码增加2位，还是只含有字母，会构成52的10次方个组合 ==144,555,105,949,057,020

如果是12位字母组合，==390,877,006,486,250,200,000

而且，用字母组合要比特殊字符更容易记住，譬如 thefreeozpass (13位）要比utN457#x (8位）容易记多了

指纹

annahw 发表于 26-8-2020 10:58
指纹，这段太有逻辑了。
你……什么时候交作业

你说的是啥作业？砍树挖坑吗？

snapdragon

指纹 发表于 26-8-2020 21:47
搬运一段网上的论证：

如果一个8位的密码只含有大小写字母，会构成52的8次方个组合 ==53,459,728,531, ...

但为什么现在加上特殊字符，密码的等级就高了呢？

指纹

annahw 发表于 26-8-2020 22:34
但为什么现在加上特殊字符，密码的等级就高了呢？

这个网上也有不同的观点，简单来说，同样长度的密码，带特殊符号的当然要比不带特殊符号的组合多，暴力破解的难度增加，不过这个增量也就相当于几小时和几天的区别。

但是这个方案给用户带来的麻烦要远远大于给破解软件造成的麻烦，因为人类认为的复杂符号对于计算机来说不是个事儿，都是3到4bit的0和1而已

而且现在很多破解软件都很人性化的，先从字典开始，试一遍所有的常用词，而且可以加入一些基本的特殊符号代替，譬如:
'5' == 's' =='$'; 'A' == '4' =='@'; 'e' == '3'; '7' == 'T' 等等
从这个角度讲， 密码 ‘ Fr3e0Zdot0rg ' 和 ’ Freeozdotorg' 的破解难度没有太大区别，而对于用户来说就麻烦了，“卧槽我上回的密码用的是’e'还是‘3’来着？是‘o'还是’零‘来着？”


相反的，增加密码长度给软件造成的难度要大得多，一个28bit的二进制数，每秒猜1000次，需要3天； 一个44bit的二进制数，同样速度，需要猜550年。

NIST 在2017年发表的白皮书建议， 密码认证应该要求设置一个最短长度，但没有必要增加字符复杂度。

Humans,however, have only a limited ability to memorize complex, arbitrary secrets, so they often
choose passwords that can be easily guessed. To address the resultant security concerns, online
services have introduced rules in an effort to increase the complexity of these memorized secrets.
The most notable form of these is composition rules, which require the user to choose passwords
constructed using a mix of character types, such as at least one digit, uppercase letter, and
symbol. However, analyses of breached password databases reveal that the benefit of such rules
is not nearly as significant as initially thought, although the impact on usability and
memorability is severe.
。。。
Password length has been found to be a primary factor in characterizing password
strength. Passwords that are too short yield to brute force attacks as
well as to dictionary attacks using words and commonly chosen passwords.

所以，很多服务要求密码带有特殊符号数字大小写，但在长度上要求却很宽松，实际上是造成了一种密码很复杂的假象。

snapdragon

指纹 发表于 27-8-2020 10:46
这个网上也有不同的观点，简单来说，同样长度的密码，带特殊符号的当然要比不带特殊符号的组合多，暴力破 ...

这个论证过程真的很有逻辑。 逻辑之美。

changfeng