|
发表于 2013-6-7 03:17:44
|
显示全部楼层
這篇文重點有兩個:
1. 用戶的密碼安全度其實由兩部分組成,密碼本身的強度和網站的加密方法
任何一邊都不能差,如果其中一邊不夠強的話會對另一邊造成太高的強度要求,大幅拉低整體安全度
反之,兩邊的安全性都有一定水準的話,整體來說安全度會比只有一邊可靠的高得多
2. 文章裡頭說了不少破解密碼的方法和難度分析
其實把它們反過來運用,就成了一個高效的密碼設計機制
大既如下:
首先是要記住密碼長度不是重點,因為靠多個較小的字典互相組合,就能有效率地破解長密碼
加上現在不少人都是用幾個詞/字的組合來做密碼,所以整體長度早已不是安全指標
再加上文中對長度-難度的關係展示
現在密碼的入門級強度指標應該是"單位長度"(當然還有"單位複雜度",這個更重要),即是指單/多段組合密碼當中每段的長度
段數對強度沒多大影響(特別是文中那些數個詞的組合),每段的長度相對來說影響更大(當然複雜度影響最大)
每段的最低要求是8位,建議標準為10位或者更長,最好每段長度是隨機(但不能比前面的要求短),段數隨你選(當然多點會好點,但切記複雜度是關鍵)
接下來就是每一段的密碼設計,最好的當然是住隨機
不能的話可以試著先設計出每段的密碼,然後隨機或是用某些規律(當然要盎可能複雜的)將每段的內容切碎交換
這樣的話每段的複雜度應該可以保持一定水準
總結來說,就是先用"單位複雜度"來把每段密碼的強度保持在單個字典/用戶行為分析等方法難以快速破解的程度
然後用"單位長度"+"單位複雜度",兩者一起將強度推到大型機群+暴力破解+合理時間(無上張的時間要求是不可能的)所能處理的複雜度之上
最後將前面兩者跟段數合起來,將強度盡可能推到GPGPU平行運算+多字典組合+數學統計模型+行為分析亦難以快速破解的強度
這樣強度就差不多了
至於網站所用安全標準,用戶能做的差不多是零
但對admin來說,基本上把能用的最強標準都拼起來一齊用就是了 |
|