“強”一詞的意圖始終是“不可猜測”。長度和復雜度有助於使密碼更“不可猜測”，但長而復雜但常用的密碼與 Pa $$ w0rd 一樣弱。

密碼在HIBP列表中，因此攻擊者知道密碼被人們選擇的可能性更高，因此可能會再次使用該密碼。因此，將首先打那些列表。

因此，如果您的密碼在列表中，那麼它是“可猜測的”。

如果您的密碼不在列表中，則從一種字典攻擊方法，它不太容易猜測，而不是其他人選擇的方法，並且通過暗示（就其價值而言）是“難以猜測的”。當然，即使沒有在HIBP列表中，許多其他因素也會使您的密碼“更容易被猜中”。隨機生成的密碼很難破解。如果您是隨機生成它，那為什麼不使用最大長度呢？

要正確回答此問題，您需要像想輸入密碼的黑客那樣思考。

但是，為了避免直接進入數學思維方式，讓我們首先考慮一下樂高電影遊戲節目“我的褲子在哪裡？”中的競爭對手。

很明顯，當競爭對手想要找到衣服時，他們要做的第一件事就是去衣櫃。如果仍然不能奏效，他們可能會檢查自己的抽屜，然後檢查房間角落裡的椅子，然後再檢查洗衣籃，如果狗是頑皮的褲子偷竊者，則可能是狗的籃子。這一切都會在他們開始看冰箱之前發生。

這裡發生的事情當然是競爭對手將首先在最可能的地方出現。他們本可以在網格中房屋的每個平方英尺上系統地進行工作，在這種情況下，他們平均不得不檢查房屋的一半。另一方面，採用這種策略，他們很有可能一口氣拿下它，當然不會期望覆蓋一半的房子。

黑客理想地希望做同樣的事情。假設他們知道密碼是8個小寫字母。他們可以一次嘗試解決它們，但是有208,827,064,576個可能的選擇，因此，給定的完全隨機的猜測大約有2,080億的可能性是正確的。另一方面，眾所周知，“密碼”是最常見的密碼。 （除非被禁止），實際上，從haveibeenpwned獲得的數據來看，正確答案是“密碼”的可能性約為151，而不是1,510億，而僅僅是151。因此，這比隨機猜測的可能性高出十億倍以上，但如果不從此開始，他們會很愚蠢。 （顯然，由於您希望找不到密碼，因此您希望避免選擇密碼的開頭）

現在，問題是這是否可以推廣到“密碼”之外。他們在處理洩漏的密碼列表時是否值得？有關更多信息，請考慮來自原始發行記錄的引號。

我進入了“反公開”列表，其中包含562,077,488行和457,962,538個唯一的電子郵件地址。這給了我另外96,684,629個唯一密碼，但Exploit.in數據中還沒有。從另一種角度來看，該密碼集中已有83％的密碼曾經被查過。

告訴我們的是，大致來說，隨機選擇的密碼要好於有80％的機會出現在列表中。該列表有幾億個條目，而隨機的8個字母的密碼則有幾千億個選項。因此，粗略地說，我們的黑客嘗試使用8個字母的密碼時，如果沒有該列表，則有0.1％的機會，而他們可能會獲得80％的機會。顯然，他們想使用它。再說一次，您最好避免這種情況。畢竟，您仍然可以選擇數千億個選項，只需輸入九個字母就可以得到數千億！

這就是檢查列表的理由。

現在，您首先要擔心的是：“總是很容易破解列表中沒有的密碼。”可能是這樣。例如，“ kvym”不在列表中。只有四個字母。只有半百萬個密碼是4個小寫字母或更短的字母，因此，如果人們可能更喜歡短密碼，那麼黑客將花費很短的時間來完成洩漏列表，從而使黑客大發雷霆。

答案很明顯。使用兩個規則。不要使用違規出現的密碼，也不要使用很短的密碼。如果您擁有任意長度的隨機密碼，那麼您擁有的選擇就太多了，黑客無法找到快捷方式。

這絕對是您的驗證步驟之一，但不能完全依靠。

鑑於大多數用戶都在重複使用密碼，並使用相對較小的單詞基礎來構建密碼，這是字典攻擊是猜測密碼的一種特別有效的方法。由於HIBP會定期更新，因此它將有許多經常使用的密碼，因此，字典攻擊者可能會嘗試使用這些密碼。因此，這是檢查的一個很好的起點。但是，僅因為您的密碼不在列表中，並不意味著您不會輕易猜到您的密碼。只是已知的密碼會在它們的密碼列表中排在首位，以嘗試與從Internet挖掘的文本，帶有數字/符號的單詞組合，換位等一起使用。隨著更多的密碼洩漏發生，HIBP和其他此類工具變得越來越有用，和黑客嘗試的密碼列表也變得更加有效。

我很驚訝地發現我知道的一些密碼很容易被猜中，並且肯定在多個站點上使用，而不是在HIBP上使用列表，因此我可以保證它不是密碼強度的決定因素（就像問題中的示例一樣）。但是，如果我想出了一個我認為是強密碼的密碼，並且該密碼在列表中，我絕對不會使用它。

其他人探討了為什麼這是一個好主意。我會採取不同的方向。

從合規性的角度來看，相關的NIST標準 NIST特殊出版物800-63，數字身份準則特別要求用戶設置密碼時，則必須應對照先前洩露的密碼列表進行檢查。相關部分是 SP 800-63B，身份驗證和生命週期管理，第5.1.1.2節，其中說：

在處理建立和更改存儲秘密的請求時，驗證程序應將預期秘密與包含已知通常使用，預期或折中的值的列表進行比較。例如，列表可以包括但不限於：

• 從先前的違規語料庫中獲得的密碼。
• 詞典詞。
• 重複或連續字符（例如'aaaaaa'，'1234abcd'）。
• 上下文相關的字詞，例如服務名稱，用戶名及其派生詞。

如果在列表中找到選定的機密，則CSP或驗證程序應通知訂戶他們需要選擇其他機密，應提供拒絕的原因，並應要求訂戶選擇其他值。

根據定義，通過Pwned Passwords API找到的任何東西都是“已知被洩露的值。”

如果您的組織必須擔心遵從性，請注意密碼的兩個主要標準不兼容。支付卡行業數字安全標準（PCI-DSS）規定，密碼必須每30天更改一次，並且必須是大寫，小寫，數字和符號等的組合，而NIST標準規定，密碼不應根據日期任意到期，並且不應具有關於允許的字符類別的複雜規則，但應具有足夠的靈活性以允許用戶使用字符類別的任何組合。

當然，取決於您的組織來確定要遵守的標準。

如果您要為美國商務部下屬的代理機構發展，則必須遵循NIST標準，即句號。這是法律。 （關於法律的所有事情，請與您組織的法律部門聯繫，不要盲目相信我。）

如果您正在使用任何處理付款信息的系統，則強烈建議您遵循PCI-DSS。如果您只有一家網上商店，並且正在使用第三方付款處理器，那麼這不適用於您。它沒有法律的效力，但是您應該諮詢您的律師，因為如果不遵守PCI-DSS，可能會在出現問題時發現您疏忽大意。

如果這些都不適用，那麼對我來說，NIST標準最有意義。與您的安全團隊進行幾次深入的討論，進行研究，找出最適合您的方法。

作為確定最適合您的方法的示例，在我的組織中，我們會不拒絕在Pwned Passwords API中點擊次數少於10的密碼。我們仍然顯示警告消息，讓用戶知道，即使密碼被洩露，我們仍然接受它。並且，他們應該考慮切換到使用密碼管理器來生成真正的隨機密碼。我很幸運能夠加入一個可以與用戶交談的組織，並且可以就密碼管理進行坦誠的討論。其他人將不得不調整其方法以滿足組織的需求。

讓我們做一下數學：

比方說，到目前為止，地球上每個人都使用了約1000個密碼。這大約可以創建10萬億個密碼，如果我沒記錯的話，大約是2 ^{43 sup>。因此，隨機選擇 any 現有密碼大約和真正的隨機8-9字符區分大小寫的密碼一樣好。不太好。請參閱此答案。}

從根本上說，從理論上講，不僅不應該重用密碼，而且不應該重用任何人使用過的密碼。 以前使用的密碼基本上是一種等待發生的大詞典攻擊。

我必須承認，我對如今的強勢手段有些迷失。我喜歡認為“強”表示複雜而又長的密碼。但這並不是一個好的密碼，因為它仍然很容易猜到。

您已經註意到：“黑客在強行強迫時會以該列表開頭”。因此，如果您的密碼出現在此列表中，則會快速猜出您的密碼，這意味著它不是一個好的密碼。

當您輸入不在列表中的字符串時，網站上會有解釋：

在“我已被擁有”中加載的所有已擁有密碼中均未找到該密碼。這不一定意味著它是一個好的密碼，只是它沒有在該站點上被索引。不能說明其實力。為此，您需要使用密碼強度檢查器，該檢查器通常不會檢查洩漏的密碼列表。 HIBP密碼列表和密碼強度檢查器互為補充。

將密碼發送到某個隨機密碼檢查站點後，它不再安全。

使用這樣的網站絕對不是您要使用的密碼的好主意。

沒有什麼可以阻止這樣的網站將您測試的密碼直接添加到單詞表中，然後再出售給黑客的。 。

再次：恕我直言，使用帶有真實密碼的此類網站非常不好的想法。

此頁面上有很多很好的答案，但是我看不到有人在考慮憑據填充的概念。

這取決於許多用戶擁有在多個站點上使用相同的用戶名（實際上是電子郵件地址）和密碼。因此，您可以獲取用戶名/密碼的列表（類似於HIBP的用法），然後針對您想要進入的網站簡單地觸發列表中的所有密碼對。

請確保沒有您的用戶在HIBP已知的任何列表中都有密碼，您可以非常有效地阻止這種攻擊。

但是我擔心的是相反的-總是很容易破解列表中沒有的密碼。目前，“ longishpassword”還沒有使用該密碼的帳戶，該帳戶遭到洩漏。但是，這並不意味著會發生哈希洩漏，因此此密碼是安全的。容易破解。

您100％是正確的，因為HIBP的Pwned Passwords數據庫缺席並不能保證密碼強度高。但是，我認為您低估了針對HIBP數據庫檢查密碼的巨大價值。關鍵是您要擔心的情況（HIBP數據庫中沒有的弱密碼）比列表中 的弱密碼的使用率要低得多。

Troy Hunt（HIBP的創建者）廣泛地介紹了他的項目，他在2018年的博客文章“ 86％的密碼很糟糕（和其他統計數據）”給出了我認為是一個非常令人大開眼界的例子（為簡便起見進行了編輯）：

但是我一直想知道-[Pwned Passwords]實際上會阻止哪種百分比的密碼？我的意思是，如果您的系統中有100萬人，是否有四分之一的人使用以前破解的密碼？一半？更多？我需要測試的理論是一個數據洩露，其中包含純文本密碼，其中包含大量密碼，並且它必須是我以前從未見過的密碼，並且不構成我用來創建Pwned的來源的一部分密碼列表排在第一位。

然後出現CashCrate [一個大漏洞和洩漏]。

在這680萬條記錄中，有2,232,284條密碼為純文本格式。因此，對於之前提出的一個大問題，“已擁有的密碼”中已經有多少個？或者換句話說，有多少CashCrate訂戶使用已知已經被破壞的可怕密碼？

在“已擁有的密碼”集中已經有2,232,284個密碼中共有1,910,144個密碼。換句話說，有86％的訂戶正在使用在其他數據洩露中已經洩漏的密碼，並且攻擊者可以使用純文本格式的密碼。

因此，儘管您認為Pwned Passwords是正確的，不能解決整個問題，它要解決的懸而未決的水果數量巨大。將其與科學基礎紮實的密碼強度檢查器（如 zxcvbn）結合在一起，您可以咬下另一個很大的塊：

  password：longishpasswordguesses_log10：8.00952評分：3/4函數運行時間（毫秒） ）：2次猜測時間：100 /小時：幾個世紀（節流的在線攻擊）10 /秒：5個月（不節流的在線攻擊）10k /秒：3小時（離線攻擊，慢速哈希，許多內核）10B /秒：不到一秒（脫機攻擊，快速哈希，許多核心） 

當您摘下低谷的果實後，您的收益可能會迅速下降。

我認為，僅從先前的違規中排除此列表中的數十億個強密碼並不一定有用，因為在您的環境中，當已經排除了數十億個密碼時，可能很難選擇一個密碼，尤其是如果人們由於某種原因或另一種原因不得不記住它（例如，不能使用密碼管理器）。

我認為，這也應考慮到您是否還使用MFA，在這種情況下，到目前為止，僅知道密碼就可以幫助您。此外，通過對錯誤的密碼輸入採用帳戶鎖定規則，可以有效地抵抗暴力攻擊。