如果我兩次輸入密碼(例如: PwdThingPwdThing ),或者兩次輸入每個字符(例如: PPwwddTThhiinngg ),將使它更加安全超過了?
假定它已經是8或9個字符,由大寫和小寫字母,數字和一個或多個特殊字符組成。
(還要假設我沒有告訴任何人我正在這樣做,儘管我只是告訴世界... Doh!)
我問,因為我希望以我仍然記得的方式獲得更多的安全性,這將是一個容易的更改製作和回憶。謝謝。
讓我們嘗試跳過理論並直接實踐。
將相同的單詞鍵入兩次(或N次)會大有幫助嗎?
開膛手約翰(John the Ripper Jumbo)關於此重複項有多種“簡單規則”
d重複項:“ Fred”->“ FredFred”
f反映:“ Fred”->“ FredderF”
oclHashcat基於規則的攻擊對此也有簡單的規則
d重複整個單詞dp @ ssW0rd p @ ssW0rdp @ ssW0rd
pN追加重複單詞N次p2 p @ ssW0rd p @ ssW0rdp @ ssW0rdp @ ssW0rd
反映f重複單詞反向fp @ ssW0rd p @ ssW0rddr0Wss @ p
因此,不,這種聰明之處太普遍了,它已經明確地包含在已經可以單獨使用的兩個通用規則集中,或者與其他規則結合使用。
或兩次鍵入每個字符
開膛手約翰(John the Ripper Jumbo)在文檔中專門有一個示例提要
XNMI從內存中提取子字符串NM並插入到當前單詞處,這是核心規則
“ <4X011X113X215”(重複文檔中的示例就是該示例,以準確說明您使用短密碼的情況。
。
基於oclHashcat規則的攻擊針對這些類型的攻擊具有簡單的規則
q複製每個字符qp @ ssW0rd pp @ @ ssssWW00rrdd
zN將第一個字符重複N次z2 p @ ssW0rd ppp @ ssW0rd
ZN將最後一個字符重複N次Z2 p @ ssW0rd p @ ssW0rddd
XNMI插入長度為M的子字符串,從保存到位置I的字的位置N開始,lMX428 p @ ssW0rd p @ ssw0rdw0
因此,也不是,這是如此的常見,以至於在兩個主要的開源破解產品中都明確指出了這一點。
假定它已經是8或9個字符,由大寫和小寫字母,數字和一個或多個特殊字符組成。
這些產品中的其他規則很可能涵蓋了您已經在做的所有事情,而且很可能已經將您所擁有的任何組合包含在應用於合理破解單詞列表的規則集中。
oclHashcat單獨包含25個充滿.rules的文件,包括具有35,000多個規則的d3ad0ne.rule,具有120,000多個規則的dive.rule等。
可用的單詞列表數量很多,其中某些單詞列表可能包含您的確切密碼-僅 Openwall單詞列表就有一個500MB的文件,包含超過4000萬個單詞,其中包括損壞的單詞
,我個人既知道小型的非常好的單詞列表(phpbb等),也知道大型的全面的單詞列表,其中包含數十億個條目,總共佔用了數十億字節的空間
與其他所有人一樣,您需要使用嘗試隨機性或類似整個句子的有價值的個人軼事,而不使用前5000名中的單詞常見英語單詞列表,並且確實使用了長而罕見的單詞(以使用更大的詞典來進行組合攻擊)。
例如,專門查找中以(良好)隨機選擇的單詞例如,Ubuntu的瘋狂英語ispell字典列表未包含在標準英語ispell字典中。
Security.StackExchange充滿了提出“自製”密碼策略的問題。簡短的答案始終是相同的:只要將
區別於標準的字典攻擊,就可以做到這一點-只要地球上很少有人使用您的策略。如果您的“自製”策略變得很普遍(例如用“ @”替換“ a”),那麼它將被包含在標準字典攻擊中,您將回到正題。
您並沒有成為個人目標。如果您有足夠的高價值目標,攻擊者專門試圖破壞您的您的帳戶,那麼您使用的任何模式都是一種責任,因為一旦他們知道了您的模式(例如,從您先前洩漏的密碼中得知) ),然後他們將根據您的模式構建字典。
infosec上這種類型的問題的另一個趨勢是,有人不可避免地會引用 XKCD,就這樣。請記住,計算機擅長搜索數據庫並根據模式生成列表。通過使用簡單的策略,例如“將每個字母加倍”或“ 我喜歡的歌曲的合唱聲的首字母”等,您將使用一種易於計算機猜測的策略。提出簡單密碼策略的最佳做法始終是:不要。使用類似LastPass的密碼管理器為您生成並記住一個32個字符的隨機密碼。如果您堅持要記住一些東西,那麼下一個最佳實踐是 diceware。
如果您想違背所有最佳實踐並發明自己的計劃,那麼我建議您選擇基於情感而非基於模式的東西,或者可以從您的個人信息中挖掘的東西。例如,對於任何可以訪問您的互聯網活動的人來說,基於“我喜歡的網站”或“我正在觀看的電視節目”的密碼都很容易猜到,但是在“讓我想起______的事物”中,您選擇了一個非常不同的______每個密碼可能很難猜到。 (如果我再考慮一下該方案,我可能會爭辯說,即使這很容易猜到,但要點是它仍然比純粹基於模式的方案要好。) >
通常,不,將密碼加倍不會顯著提高(或降低)安全性。加倍的是您的打字努力。如果您加倍密碼 可能會刺激您選擇更短/更簡單的基本密碼,從而使您的鍵入工作不會太麻煩。
從廣義上講,密碼安全性從其隨機性,即攻擊者不知道多少。在“加倍”的情況下,這是一位信息(即是否應用),因此,從數學上講,它是熵的額外一位。那不多。輸入八個額外的字符以獲得一點熵是微不足道的。
所有機智的把戲都有一個基本的問題:機智。他們依靠攻擊者是愚蠢,無能或過時的。除了針對真正愚蠢,無能和過時的攻擊者以外,這在實踐中並不適用-神知道他們很多,但它們並不是大問題,因為他們不知道如何處理您的密碼。您應該擔心的攻擊者是聰明的攻擊者,他們可以在短時間內對您的數字資產造成實質性破壞。這些聰明的攻擊者不會被您的密碼加倍技巧嚇倒。
我的密碼破解者已經嘗試將字母加倍,單詞加倍,單詞反轉和加倍,單詞大小寫翻轉和加倍...
...等等。
是的加倍增加了一些難度:大約四位數,最高。比起用字母替換的原始字典攻擊,破解我要花十六倍的時間。
但是我最終會得到BAdpA55 !! 22AqbA8。
人類是令人驚訝的可預測生物。我們的思維方式並不像我們希望的那樣獨特。您可能想到的任何使您的密碼更安全的聰明方法,很多其他人已經想到了,並且黑客充分意識到了所有這些聰明的技巧。
唯一的方法使密碼正確安全,就是使密碼長而隨機。從公式中消除人為失誤。如果密碼太複雜,您可能無法記住它,那麼它可能足夠安全。
密碼管理器非常有用。它們使您可以使使用的每個密碼唯一,並且每個密碼完全隨機。
顯然,您需要確保密碼管理器數據庫是安全的,並且不能遠程訪問。
有很多因素,但是最終會分解為您試圖防止哪種類型的密碼破解。在暴力破解的情況下,增加密碼的長度將使其更難破解。假設他們的哈希值不算太糟糕,那麼像樣的8或9個字符的密碼應該已經很難破解了。這意味著通過兩次鍵入每個字符或兩次鍵入相同的密碼來將密碼加倍實際上並沒有多大作用。
一旦密碼足夠長,足以抵禦暴力攻擊,那麼您就必須開始擔心字典攻擊,組合攻擊和其他類似的東西。您建議的任何一種都將很容易包含在基於規則的攻擊中,而由此帶來的其他安全性的任何價值都取決於它是否通常不被執行且未包含在其規則集中。
鏈接到zxcvbn密碼熵演示。
根據zxcvbn,您的初始密碼統計信息:
正常:PwdThing
猜測:100 /小時:5個月(限制在線攻擊)10 /秒:58分鐘(不限制在線攻擊)10k /秒:35秒(離線攻擊,慢速哈希,許多內核)10B /秒:少於第二(離線攻擊,快速哈希,許多內核) 翻倍:PwdThingPwdThing
猜測時間:100 /小時:9個月(節流的在線攻擊)10 /秒:2小時(不受限制的在線攻擊)10k /秒:1分鐘(離線攻擊,慢速哈希,許多內核)10B /秒:不到一秒(離線攻擊,快速哈希,許多內核) 字母翻倍:PPwwddTThhiinngg
猜測時間:100 /小時:百年(限制在線攻擊)10 /秒:百年(不受限制在線攻擊)10k /秒:百年(離線攻擊,慢散列,許多核心)10B /秒:12天(離線攻擊,快速哈希,許多內核) zxcvbn可能並不完美,但是我覺得它可以為您提供相當不錯的密碼強度估算。試一試,以獲得具有很高評分的精美記憶密碼。
我更喜歡將句子用作密碼。它們很長,並且天生就難以猜測且易於記憶。
EX:“星期一,我第二喜歡吃的水果是芒果!” (在允許的地方包含空格)
如果您擔心NSA暴力破解您的密碼...我會使用其他人都在談論的生成密碼。
兩件事使密碼更安全:長度和隨機性。因此,您問題的答案肯定是是,您正在提高密碼的安全性。
但是通常,您的初始密碼不是超級密碼之所以安全,是因為它使用詞典中可以找到的單詞。而且,加倍只是破解算法也可以輕鬆完成的重複模式。因此,不僅要加倍您的密碼,還要確保您加倍的不是真實的單詞。
為密碼增加長度確實可以大大提高密碼的安全性,所以我認為兩次輸入密碼或將每個字符加倍比不使用密碼或使用8或9個字符的較短密碼更好。請參閱此鏈接,以了解有關增加密碼長度如何顯著改善其安全性的更多信息: https://www.grc.com/haystack.htm
密碼的長度始終是密碼安全的關鍵因素,但也要嘗試改善內容,將密碼加倍可能有助於抵禦HYDRA /字典攻擊的習慣
@SethWhite-相信您給出了最準確的答案。
許多用戶不了解用於破解密碼的途徑和方法。此外,還有其他安全措施,例如阻止未知的http / ftp調用者的端口。
Seth顯示,至少有四種不同的途徑可以很難破解密碼。最簡單的方法是進行網絡釣魚,在鍵盤下查看,在顯示器上的便箋上查看是否有紙條等。
密碼只是保護數據免受攻擊的一部分。您的密碼(關鍵字)用於生成隨機的長二進制(機器代碼)序列,該序列只能使用您的密碼和對其進行編碼的軟件算法進行解碼。因此,只要嘗試猜測基礎數據上的該二進制序列(HASH)(不使用登錄頁使用的解碼器軟件),就必須嘗試從第一個字節開始隨機進行,直到他們隨機猜測所有字節為止。這就是Seth所顯示的蠻力,您需要大量時間和64個128,256,512字節HASH長度的內核。破解時間隨時間成倍增長。 HASH的長度取決於密碼的大小,因此,更長的密碼會更長,而HASH的暴力破解時間也會更長。我認為數據服務中心的黑客行為是字典攻擊,黑客使用登錄解碼軟件來猜測密碼。因此,字典攻擊通常可以某種方式訪問您的數據而不只是數據上的系統。
例如,據我所知,節流的在線攻擊是通過http連接進行的,可能是被被黑的cookie支持(由網絡服務器安裝的通常有用的小型程序)來“字典攻擊您的系統”。
結論:較長的隨機密碼(“ PPwwddTThhiinngg”計數)有助於極大地阻止這兩種攻擊。密碼的長度和復雜度應反映字典攻擊的危險和對存儲信息的敏感性。
P.S。我的家人討厭我,因為我們的家庭無線網絡受到128字節隨機密鑰短語的保護。