密码是当代计算机系统的基石,已经使用了数千年。当与他人共享信息时,密码作为身份识别方法,使信息在个人之间成为密码。
什么样的密码是好密码?
一个好的密码可能只是一个6到8个字符的单词或短语。但我们现在有了最小长度标准。熵是一个可预测的测量。这个操作背后的数学并不复杂,但让我们以一种更简单的方式检查:可能的密码数量,有时也被称为“密码空间”。
如果一个字符的密码仅包含一个小写字母,则只有26种可能的密码(“ a”至“ z”)。我们将密码空间增加到52个潜在密码,包括大写字母。
密码空间将随着长度和其他字符类型的增加而扩大。
查看上述数字,很容易理解为什么我们鼓励使用长密码,并使用大小写字母、数字和符号。密码越复杂,就越需要猜测。
然而,取决于密码复杂性的问题是,计算机在重复执行任务(包括猜测密码)方面非常有效。
去年,一台试图生成每个可能密码的计算机创下了新的记录,其速度超过了每秒1万亿次的猜测。
通过利用这种计算能力,网络犯罪分子可以通过使用尽可能多的密码组合来侵入系统。
借助基于云的技术,只需8分钟就能猜到8个字符的密码,但费用只有25美元。
此外,由于密码几乎总是用于提供敏感数据或重要系统的访问权限,这将刺激网络犯罪分子积极寻找它们。它还促进了盈利的在线市场销售密码,包括电子邮件地址和/或用户名。
密码是如何存储在网站上的?
网站密码通常以被保护的方式存储,称为哈希的数学算法。哈希密码无法识别或转换回密码。
在尝试登录时,使用相同的过程来处理输入的密码,并将其与存储在网站上的版本进行比较。每次登录时都会重复此过程。
例如,使用SHA1在计算哈希算法时,密码“ Pa $$ w0rd”被赋予值“ 02726d40f378e716981c4321d60ba3a325ed6a4c”。自己尝试一下。
当面对充满散列密码的文件时,你可以使用蛮力攻击,尝试组合每个字符以获得一定范围的密码长度。这已经成为一种常见的做法,一些网站列出了常见的密码及其(计算)哈希值。您可以简单地搜索哈希以显示相应的密码。
目前,盗窃和销售密码列表非常普遍,可以使用特殊网站 haveibeenpwned.com来帮助用户检查其账户是否存在。如今已经包括超过100亿个帐户详细信息。
如果您的电子邮件地址列在此网站上,您绝对应该更改检测到的密码,以及使用相同凭证的任何其他网站。
使用更复杂的密码
你会认为,如果密码泄露事件每天发生这么多,我们会改进密码选择的做法。不幸的是,去年SplashData密码调查显示,五年来几乎没有变化。
随着计算能力的提高,解决方案似乎会增加复杂性。然而,作为人类,我们不熟练(也不愿意)记住高度复杂的密码。
我们还通过了只使用两个或三个需要密码的系统的观点。现在,访问多个网站很常见,每个网站都需要密码(通常长度和复杂性不同)。最近的一项调查显示,平均每个人都有70-80个密码。
好消息是解决这些问题的工具。如今,大多数计算机都支持操作系统或Web存储在浏览器中的密码,通常可以选择共享存储在多个设备之间的信息。
这并不能阻止从易受攻击的网站窃取密码。但是,如果它被盗了,你不必担心在所有其他网站上更改相同的密码。
当然,这些解决方案也有漏洞,但这可能是另一回事。