密碼是當(dāng)代計算機(jī)系統(tǒng)基石，已被使用了數(shù)千年。當(dāng)向他人共享信息時，密碼作為身份識別的方法，使信息在個人之間是密碼的。

什么樣的密碼是一個好的密碼?

一個好的密碼可能只是一個6到8個字符的單詞或短語。但是我們現(xiàn)在有了最小長度準(zhǔn)則。在談?wù)撁艽a時，熵是可預(yù)測性的度量。此操作背后的數(shù)學(xué)并不復(fù)雜，但讓我們以更簡單的方法進(jìn)行檢查：可能的密碼數(shù)量，有時也稱為“密碼空間”。

如果一個字符的密碼僅包含一個小寫字母，則只有26種可能的密碼(“ a”至“ z”)。通過包含大寫字母，我們將密碼空間增加到52個潛在密碼。

隨著長度的增加和其他字符類型的增加，密碼空間將繼續(xù)擴(kuò)大。

查看上面的數(shù)字，很容易理解為什么我們鼓勵使用長密碼，并使用大小寫字母，數(shù)字和符號。密碼越復(fù)雜，就需要進(jìn)行更多的猜測。

但是，取決于密碼復(fù)雜性的問題在于，計算機(jī)在重復(fù)執(zhí)行任務(wù)(包括猜測密碼)方面非常高效。

去年，一臺試圖產(chǎn)生每個可能的密碼的計算機(jī)創(chuàng)下了新的記錄，它的速度超過了每秒100,000億次猜測。

通過利用這種計算能力，網(wǎng)絡(luò)犯罪分子可以在稱為蠻力攻擊的過程中，通過使用盡可能多的密碼組合對它們進(jìn)行暴力破解來侵入系統(tǒng)。

借助基于云的技術(shù)，只需8分鐘即可猜到8個字符的密碼，而費用卻只有25美元。

此外，由于密碼幾乎總是用于提供對敏感數(shù)據(jù)或重要系統(tǒng)的訪問權(quán)限，因此這會激發(fā)網(wǎng)絡(luò)犯罪分子主動尋找它們。它還推動了利潤豐厚的在線市場銷售密碼，其中一些密碼包含電子郵件地址和/或用戶名。

密碼是如何存儲在網(wǎng)站上的?

網(wǎng)站密碼通常使用稱為哈希的數(shù)學(xué)算法以受保護(hù)的方式存儲。哈希密碼無法識別，無法將其轉(zhuǎn)換回密碼。

嘗試登錄時，將使用相同的過程對輸入的密碼進(jìn)行哈希處理，并將其與站點上存儲的版本進(jìn)行比較。每次登錄時都會重復(fù)此過程。

例如，使用SHA1哈希算法計算時，密碼“ Pa $$ w0rd”被賦予值“ 02726d40f378e716981c4321d60ba3a325ed6a4c”。自己嘗試一下。

當(dāng)面對充滿散列密碼的文件時，可以使用蠻力攻擊，嘗試每種字符組合以獲取一定范圍的密碼長度。這已經(jīng)成為一種常見的做法，以至于有些網(wǎng)站列出了常見密碼以及其(計算出的)哈希值。您可以簡單地搜索哈希以顯示相應(yīng)的密碼。

現(xiàn)在，盜竊和出售密碼列表非常普遍，可以使用專門的網(wǎng)站 haveibeenpwned.com來幫助用戶檢查其賬戶是否存在。如今已經(jīng)包括超過100億個帳戶詳細(xì)信息。

如果此站點上列出了您的電子郵件地址，則絕對應(yīng)該更改檢測到的密碼，以及在使用相同憑據(jù)的任何其他站點上。

使用更復(fù)雜的密碼?

您會認(rèn)為，每天發(fā)生如此多的密碼泄露事件，我們會改善密碼選擇的做法。不幸的是，去年的年度SplashData密碼調(diào)查顯示五年來幾乎沒有變化。

隨著計算能力的提高，該解決方案似乎會增加復(fù)雜性。但是，作為人類，我們不熟練(也不愿意)記住高度復(fù)雜的密碼。

我們還通過了僅使用兩個或三個需要密碼的系統(tǒng)的觀點。現(xiàn)在，訪問多個站點很普遍，每個站點都需要密碼(通常長度和復(fù)雜性各不相同)。最近的一項調(diào)查表明，平均每人有70-80個密碼。

好消息是有解決這些問題的工具。現(xiàn)在，大多數(shù)計算機(jī)都支持在操作系統(tǒng)或Web瀏覽器中存儲密碼，通常可以選擇在多個設(shè)備之間共享存儲的信息。

這不會阻止從易受攻擊的網(wǎng)站竊取密碼。但是，如果它被盜了，您將不必?fù)?dān)心在所有其他站點上更改相同的密碼。

這些解決方案中當(dāng)然也存在漏洞，但這也許是另一回事了。