如何創建高強度密碼并強化帳戶安全性

搜索

APP

起點課堂會員權益

職業體系課特權

線下行業大會特權

個人IP打造特權

30+門專項技能課

1300+專題課程

12場職場軟技能直播

12場求職輔導直播

12場專業技能直播

會員專屬社群

榮耀標識

發布

注冊 | 登錄

如何創建高強度密碼并強化帳戶安全性

張楚

2023-05-08

0 評論 2852 瀏覽 3 收藏

9 分鐘

當我們在創建或更改密碼時，一般需要滿足復雜性要求。但是隨機密碼難以記憶，因此大多數人都使用類似的、可預測的方式創建密碼，這使得攻擊者更容易破解密碼。那么，如何創建高強度密碼，并強化賬戶安全性呢？本文作者對此進行了分析，一起來看一下吧。

通常當我們在創建或更改密碼時，密碼必須滿足密碼復雜性要求。例如密碼需要包含大小寫字母、數字和符號。

如下表所示，假定密碼長度8位，使用更大的字符集的確能夠產生出更多種組合，理論上攻擊者必須嘗試所有可能的組合才能破解密碼。

然而，人為創建的密碼并不是隨機的，因為隨機密碼難以記憶。米勒對短期記憶能力進行了定量研究，年輕人的記憶廣度大約為7個數字、6個字母、5個單詞。密碼復雜性要求使記憶變得更加困難，其迫使大多數人使用類似的、可預測的方式創建密碼，反而導致密碼有規可循。主要有以下幾種方式：

首位是大寫字母，末位是數字或符號。
常見的單詞使用數字或符號的僅外觀類似替換，例如使用“$”替換”s”，“@”替換“a”，數字“0”、“5”、“1”替換英文字母“o”、“s”、“i”等。
常見的單詞或短語末尾附加數字。

掌握這些規律攻擊者更容易破解密碼。攻擊者不一定會逐一嘗試所有可能的組合，而是選擇一種更合乎邏輯的方式，從更可能的組合開始嘗試。攻擊者通過最常見的替換來運行字典攻擊，例如，如果單詞“password”在字典列表中，攻擊者可以嘗試使用“P@ssw0rd”、“P@55word”或“P@55w0rd”等變體來破解密碼。除了這些常見的替換之外，攻擊者還可能嘗試使用常見的單詞或短語，在末尾附加數字。字典攻擊很大程度上縮小了密碼組合的范圍，縮短了破解的時間。

即使密碼是隨機生成的，以目前的技術，運行在專用硬件（例如高端GPU集群）上的高度優化的密碼破解軟件可以每秒測試數十億個密碼組合，攻擊者使用如此強大的密碼破解軟件，破解密碼可能也只需要幾分鐘到幾小時。另一方面，用戶難以記住隨機生成的密碼，可能會以不安全的方式存儲他們的密碼，例如寫在一張便條紙上，放在計算機附近。

總體而言，從安全和好記的角度來看，密碼復雜性要求弊大于利。

在密碼中使用混合字符類型的建議最初是Bill Burr于2003年在美國國家標準技術研究所（NIST）工作時撰寫的一份文件《NIST SP800-63》中提出的，2017年他在接受華爾街日報采訪時公開道歉，稱當時他并沒有得到可靠的數據作嚴謹研究，只依靠來自八十年代、不合時宜的舊文件作為參考，而他的建議也沒有考慮到一般人的生活習慣及思考模式。

2017年6月，NIST發布了新版《NIST SP800-63》，其中包含對其密碼建議的更新，不再強調在密碼中使用混合字符類型，而是鼓勵用戶在合理范圍內使用更長的密碼或密碼短語作為增強安全性的更有效方法。

創建一個長且易于記憶的密碼可能具有挑戰性，以下一些方法可以提供幫助：

使用密碼短語：不要使用單個單詞，而是使用由幾個不相關單詞組合而成的密碼短語，這樣可以更容易記住密碼，同時也增加了密碼的長度和復雜性。例如，你可以使用“correct horse battery staple”之類的短語。（實例已經公開，所以已經不具備安全性，只作為說明例子）。
使用助記符：你可以使用句子或歌曲歌詞中每個單詞的首字母來創建密碼。
使用來自可信來源且受信任的密碼管理器創建并存儲密碼。

以下是創建密碼時需要避免的一些額外事項：