我在一家擁有16,000名員工的公司工作。我們的IT副總裁會定期發布帶有“技術提示”和其他IT內容的新聞通訊。本週新聞通訊的主題是“密碼安全性”。引言部分引起了我的注意:
我們只是解密了所有正在使用的用戶密碼,以查看員工是否使用了強密碼。我們使用了蠻力,rcracki,hashcat / oclHhashcat和john-the-ripper工具的組合來解密密碼。不要使用字典中的單詞;確保使用大小寫混合的符號;請勿將監視器的密碼寫在黃色的便籤紙上;等等...
現在,我不是密碼專家,但我對此表示懷疑,他聲稱他們已經“解密了所有用戶密碼”。我可以相信他們可能會通過他們的工具運行所有哈希並“解密”了大部分 ,但是他們擁有計算資源聲稱已經破解了它們的確是合理的嗎? >全部? (順便說一句,“解密”在這種情況下是否正確? 。但是他回答說,不是,他們確實已經解密了所有用戶密碼。
我很感激他在這裡嘗試教的安全課程,但是我的密碼是KeePass生成的8個隨機字符。我認為這非常好,它類似於
Q6&dt>w}
(顯然不是,但與此類似)。現代破解工具真的那麼強大嗎?還是這個傢伙可能只是以一次安全培訓的名義拉了我的腿?
P.S。我回復了他的電子郵件,詢問他是否可以告訴我密碼的最後兩個字符是什麼。尚無回复,但如果他設法完成,我將進行更新!
編輯: 一些答案正在討論我的特定密碼長度。請注意,他不僅聲稱他們破解了我的密碼(如果他們將我挑出來,這是可以相信的),而且他聲稱他們對所有用戶都這樣做了-我們擁有超過10,000名員工!我並不是很天真地認為這意味著10,000個安全的好密碼,但是即使哪怕1%的用戶都有一個安全的密碼,他們仍然聲稱自己已經破解了100個安全的密碼!