我說的是這個密碼- 23 ## 24 $$ 25 %% 26
以及類似的由特殊字符組成的相似字符,這些特殊字符以一種模式出現,這幾天用戶經常使用。 p>
在工作中(金融公司),我正在創建一個不允許用戶選擇的錯誤密碼列表,其中涉及某些週期或模式,而上述種類表現出包含連續數字的特徵,該數字包含特殊字符(重複一定的次數,這裡兩次。)
出於好奇,我在一個非常知名的網站(在其登錄頁面上)上對此進行了檢查,並指出這將需要幾個世紀的時間。 >
列表中的其他一些示例可能需要幾年的時間才能破解,但非常脆弱:
1!2 @ 3#4 $ 5%6 ^ >> 2 @ 3#4 $ 5%6 ^ 7&
a!b @ c#d $ e%f ^
現在,我對列表感到困惑,應該我將這些特殊類型的密碼標記為易受攻擊,即使用戶需要很長時間才能將其禁止使用,
注1-我們正在考慮這些易受攻擊的用戶,因為許多用戶(因此,多個相似的密碼)都遵循這種趨勢來輕鬆記住事情。
注2-我們感到困惑,因為安全性人們都在增加熵,而他們卻忽略了數據庫中類似哈希值的有序性。
在我們之間劃定一條線(定義允許或不允許使用的密碼)之間,人們之間產生了摩擦。
編輯:
-
我正在談論的這個網站,但沒有名字,我測試過的密碼很漂亮每個道德/不道德的黑客都非常了解,Stack Exchange上的幾乎每個用戶以及許多大/小公司(因為他們使用其服務)都是眾所周知的。
-
我們不以純文本格式存儲密碼。我們使用一種不錯的而非自釀的哈希算法。
一次事件導致我們查看了我們的密碼政策,並在另一台計算機上創建了一個單獨的數據庫db-2
,其中我們存儲了simple_hashed_newly_created用戶的密碼(不加鹽,不包含任何內容,僅包含hashed_password),而未存儲who_created, when_created的詳細信息。我們僅在短期內這樣做。任何密碼更改也都進入該數據庫。同時,在我們的原始數據庫db-1
中放置了secure_salted_passwords。
我們也按照一種模式,繼續創建了哈希易受攻擊密碼的列表L
,我們被留下了。當我們匹配L
&db-2
時感到很有趣-我們看到了多組相似的密碼,具有特定的模式。後來從系統中刪除了L
和db-2
。 -
db-2
被保存在高度安全的機器上並且很安全,因此在此不會透露確切的詳細信息。我們知道,即使是氣隙或電插座也不是安全的。db-2
和L
均被銷毀。 -
不用擔心這裡發布的密碼,因為我們已經進行了操作進行了一次小型實驗,並設置了所有這些特定的用戶名來重置密碼(當然,新密碼與舊密碼不同)。這就是原因,我來這裡發布的樣本很少。
而且,我之前也曾在這裡發表評論,我從生成器的邏輯中發布了密碼樣本,該邏輯創建了非常龐大的哈希密碼列表,該列表可能是也可能不是在db-2
中。再一次,由於所有這些用戶都有一個新密碼,因此不用擔心,一切都是安全的。 -
由於我知道生成器的工作原理,因此我在網站上,我們對於允許或禁止使用哪些標準以及哪個標準感到困惑。
非常感謝您的回答,感謝我。根據回答,我們暫時推遲了對密碼選擇的任何限制。