無論如何，它們是錯誤的：

七個可隨機打印的ASCII：95 ^{7 sup> = 69833729609609375可能的密碼。隨機字母：52 10 sup> = 144 555 105 949 057 024可能的密碼，或超過2000倍的密碼。}

長度計數。如果您是隨機生成密碼，那麼它比任何其他使密碼難以猜測的方法都重要。

理論觀點

讓我們在這裡進行數學運算。共有26個字母，10個數字，並假設有10個特殊字符。首先，我們假設密碼是完全隨機的（並且使用​​一個組中的字符的可能性比另一組中的字符的可能性小）。

然後，可能的密碼數量為編寫為 C = s ^ n ，其中 s 是字母的大小，而 n 是字符的數量。密碼的熵定義為：

  log2（C）= log2（s ^ n）= log2（s）* n  

讓插件問題中的數字：

  sn熵（位）A 52 6 34.2B 52 10 57.0C 72 7 43.2D 26 10 47.0E 26 5 23.5  

因此，在這種情況下，C只是僅次於B和D的第三好的選擇。

實用的觀點

但這都是在隨機性假設下進行的。對於人們如何生成密碼，這不是一個合理的假設。人類只是不會那樣做。因此，我們將不得不選擇其他一些假設，以了解密碼的生成方式以及攻擊者在其字典中嘗試使用密碼的順序。

一個不合理的猜測是，許多字典都是以單詞開頭的，只有後來才這樣。繼續進行替換並添加特殊字符。在這種情況下，短密碼中的單個特殊字符要比真正長的普通單詞更好。但另一方面，如果攻擊者知道總是使用特殊字符，則她將首先嘗試使用這些密碼。第三方面，字典可能是圍繞完全不同的原理（例如在洩漏的數據庫中出現）集中。

我可以永遠推測。

為什麼是問題，而不是答案，那是錯誤的

問題在於，如何生成密碼有很多原則可供選擇，我可以任意選擇一個，以便幾乎所有答案都是正確的。因此，整個問題毫無意義，只會掩蓋世界上沒有任何密碼策略可以強制執行的重要觀點：密碼包含的強大字符不是什麼-密碼的生成方式。 em em>

例如， Password1！包含大寫，小寫，數字和特殊字符。但這不是很隨機。另一方面， ewdvjjbok 僅包含小寫字母，但更好，因為它是隨機生成的。

他們應該做的

如果您只是不再依賴容易出錯且有限的人類記憶，那麼字符集和長度就不再是您必須相互權衡的限制因素。可以同時擁有兩個。

一種方法是使用密碼管理器。正如 Dan Lowe在評論中指出的那樣，這可能不是醫院的可行選擇。第二種選擇是使用某種雙因素身份驗證（例如，硬件令牌或鑰匙卡），這會使第一因素（密碼）的安全性變得不那麼重要。

這是系統的責任經理而不是最終用戶來實施。他們必須提供允許最終用戶以實用和安全的方式執行其工作的工具。沒有多少用戶培訓可以改變這一點。

我意識到已經有很多好的答案，但是我想澄清一點。

該問題無法回答，因為它沒有指定字符集，也沒有指定密碼選擇方法

首先要解決的第二點是，我們假裝密碼是在允許的域內真正隨機生成的，否則我們甚至無法開始對此事進行推理。

對於另一點，舉個極端的例子，讓我們說b表示僅英語字母中的字母，因此說52個可能的符號。這樣每個字符大約有5.7位熵，因此總體上大約有57位熵。

另一方面，（也許有點不合理）讓我們說答案c意味著任何被認為是完全隨機的Unicode代碼點成為字符（與BOM表等相對）。截至Unicode 6，目前大約有109,000個字符。這意味著每個字符約16.7位的熵，總共117位熵。

另一方面，如果答案c僅限於ASCII或也許是ISO 8859-15或其中的某些子集，很容易得出相反的結論。

這當然是完全不合理的，但突出了問題的破缺之處以及如何合理地為任一答案辯護。作為一個明智的測試問題，必須措辭更加嚴格，這將使技術或數學知識有限的用戶更難以解決問題。

最後，我建議該測試是大概是沒有意義的，因為組織理想上不需要用戶記住密碼要求，而是以技術方式實施它們（我認為唯一的用心學習有用的要求是不要在多個地方重複使用相同的密碼）。

在理想情況下，NHS認為哪個密碼最安全是錯誤的嗎？是的，絕對是的-其他答案已經相當全面地涵蓋了這一領域。

關於在NHS環境中哪種密碼最安全，NHS是否錯誤？

長密碼怎麼會更糟？-

有些傳統系統會人為地限制密碼的長度，例如，舊的Windows LANMAN / NTLMv1密碼哈希將長度限制為14個符號，而舊的基於DES的UNIX密碼哈希將其限制為8個符號。更糟糕的是，在這樣的系統上，密碼輸入通常會允許您輸入任意長的密碼，而之後忽略所有內容第一個 n 符號。

實際上，NTLMv1似乎是它們正在運行的特定舊方案。正如@MarchHo指出的那樣，NTLMv1將您的密碼分為兩半，每個半角最多7個字符，並且每個半角都可以分別破解。因此，如果您將NTLM與10個字符的字母數字密碼一起使用，則真正擁有的是7個字符的字母數字密碼和3個字符的字母數字密碼。前者顯然比完整符號集中的7個字符還差，而後者在使用10年的PC上可以在幾毫秒內被破壞。

為什麼這麼老的東西仍然會普遍使用？ / h2>

基本上，因為它可以工作並且升級會很昂貴。

現在，我在推測，但是：我建議特別是醫療保健環境可能正在運行舊版系統，由於醫療保健的敏感性。新系統在被接受為解決方案之前，可能需要進行徹底的審查，這意味著醫療保健系統的更新往往會緩慢進行且花費巨大。

因此，如果您知道有一些通用的系統能夠做到這一點方式，並且您無法修復它們，那麼您能做的最好的就是告訴您的用戶使用盡可能大的符號池來選擇長度為 n 的密碼。

通常：您確定密碼不會被截斷嗎？

不幸的是，這對一般情況也有影響，特別是對於那些長期喜歡我們密碼的人而言。我們如何確定僅使用密碼短語的第一個或兩個單詞就不能登錄 https://example.com上的帳戶？與使用眾所周知的“正確的胸椎電池釘”一樣糟糕，不小心使用“正確的”電池會更糟。為了確保密碼安全，僅確保生成足夠的熵還不夠。您還必須確保另一端的系統不會丟棄大部分系統。

這個問題有些問題。其中之一是，它沒有說明如何選擇密碼，但我認為最合乎邏輯的方法是假設密碼是隨機選擇的，但滿足各自的條件，因此我將使用該約定作為答案。請注意，Randall的漫畫顯然不同意這個假設，但是問題並沒有指定選擇密碼的方式，因此我認為我們會盡可能地做到最好，那就是隨機選擇密碼。此外，該測試可能不是基於Randall的漫畫。

如果我們假設使用英文字母，則很容易計算選項 b 的關鍵步調。是的，我知道更多的假設。但是，由於測試似乎是英文的，並且不是很棘手，所以我認為我們可以做這個假設。

英文字母中有26個小寫字母，大寫字母也一樣，總共52個。因此，選項 b 的鍵空間中有52 ^ 10≈1.45 * 10 ^ 17個元素。

選項 c b 。但是，由於我們假定使用英文字母（這有利於選項 c ），因此我們還可以假定僅將ascii用於特殊字符–這有利於選項 b 。實際上，如果我們假設特殊字符比ascii更多，那麼我們就必須假設字母比ascii更多，因為ä可以說是德語字母。與選項 c 之一相比，這使得選項 b 的鍵空間更大。*

我們對選項所能做的最好c 如果我們將自己限制為ascii字母，則是使用字母中的每個可打印字符（不包括空格）（注意：“ alphabet”一詞的用法不同，使用更普遍）。這是94個字符，為選項 c 提供了一個94 ^ 7≈6.48 * 10 ^ 13個元素的鍵空間。

由於我們要解決該問題的一種假設是，根據各自的限制隨機選擇密碼，並且該規則等於從各自的密鑰空間隨機選擇密碼，因此使用選項 b b>選擇密碼code>很難猜測，因為破解密碼時要嘗試幾個數量級的選擇。

實際上，如果我們假設通過蠻力破解密碼的成本近似等於密鑰空間的大小，破解通過選項 b 選擇的密碼的強度是破解通過選項選擇的密碼的難度的52 ^ 10 /（94 ^ 7）≈2'229倍c ，清楚表明該問題的正確答案是錯誤的。

**這在數學上很容易證明，但是此StackExchange缺乏LaTeX支持，您可能仍然會通過文本描述更好地理解它。

唯一的優勢選項 c 優於選項 b 是它的較大字母（再次，更廣泛地使用“字母”一詞）。但是，選項 b 可以選擇更長的密碼來彌補這一不足。如果我們添加越來越多的字符（例如ü，à，Ø，Æ等） ，我們使字母的大小更加相等，從而導致 c 相對於 b 的優勢減弱，而 b 相對於 c 不受影響。

我喜歡熵問題：

簡短答案：

是的，關於更多的熵，您在技術上是正確的（最好的一種正確答案） ）。

長答案

熵主要受兩方面因素影響。密碼可以使用的符號數和長度。在NHS的情況下，邏輯上是“特殊字符”是可以在10個字符答案中使用的符號，因此，密碼越長，熵就越高，並且從理論上講更加安全。

但是，我們必須與人打交道，而且我們很懶。問題是試圖使人們在密碼中包含特殊字符，因為這會迫使熵發生。

沒有它，Randall的漫畫在數學上是正確的，雖然很厚臉皮，但是任何認為正確的horsebatterystapler都是正確的SysAdmin，因為它需要長時間打在臉上，因為這已經在我的彩虹桌子上了而。

說句公道話，我認為採用四個字典單詞將它們串在一起是個好主意（這就是我們所說的密碼短語），但是我所說的人比較懶惰，很可能會陷入常見的模式。

引用的測試和您的反駁都是錯誤的，基本上是因為熵是密碼的隨機性的度量標準，而不是長度，不是字母大小。當且僅當“正確的馬桶釘書釘”下面的44個小灰色框代表擲硬幣的結果（或類似的製服，獨立隨機事件），用於選擇密碼。如果有人選擇了所有選項，那麼所有的賭注都將失效。

據我所知，通常，擴展密碼長度比擴展字母增加了更多的熵。

如果 d 是字母大小，而 n 是密碼長度，則隨機選擇的統一密碼具有 log2（ d）* n位熵。因此，將字母表的大小加倍會增加熵的 n 位；在密碼中添加一個額外的符號會添加 log2（d）位。因此，這全部歸結為 d 和 n 的具體值；像您提議的那樣，有了經驗法則真的沒什麼意義，因為我們可以直接計算出增量。

問題就在這裡，不管喜歡與否，這個問題與實驗室密碼或數學上更安全的密碼無關。這是關於讓人們在選擇密碼時“思考”他們的密碼。

a。不正確，因為它只有字母。
b。是錯誤的，因為它只有字母
c。是正確的，因為它足夠長並且包含“特殊字符”
d。是錯誤的，因為它只有字母。

或者換句話說，僅使用字母的密碼是不好的。

現在，可以使用足夠長或足夠隨機的字母來創建更安全的密碼，這是事實。 。 “ asefhesesnh”比“ p4ssw0rd”好得多，但是老實說，這是該測試目標受眾中大多數人無法理解的理解。

相反，讓用戶理解選擇“更長”的密碼（包括字母，數字和特殊字符）是“更好的”。

換句話說，當您談論具有不同技術技能水平的廣泛用戶並創建自己的密碼時，C是正確的。當然，數學可能會失效，但這並不重要。沒有提供者，將坐在那裡找出密碼熵，但他們可以計算密碼中的$數量。

選項b為每個角色提供52種可能性。

要使c更好，這7個字符中的每個字符必須具有超過52 ^{10/7 sup> =至少283種可能性。}

這表示ASCII或西方ANSI字符集不足。為了使選項c更好，他們必須允許Unicode字符集（或一些非常神秘的亞洲ANSI代碼頁）。

這顯然是個措辭不佳的問題。有62個數字和字母（大寫+小寫），因此正確的答案應為：

c如果“特殊字符”表示我可以使用Unicode字符或至少包含其他字符集的其他字符集221個非字母數字（即“特殊”）字符，否則為b。