Re: [閒聊] 不為人知的工程師內幕
原文恕刪
先講結論,基本上你能想到的增加自己麻煩的反人類的機制,
幾乎都無助於強化密碼安全。
至於細節,若要講怎麼設密碼來防止暴力踹密碼,
就必須了解是怎麼暴力踹密碼的。
暴力踹密碼的基本方向不外乎兩種:字典攻擊與窮舉。
字典攻擊這個比較複雜先不提,
窮舉法破解密碼的所需期望時間基本上可簡單寫為:
期望時間 = 可能的密碼組數 x 平均踹一組密碼費時
所以任何能增加可能密碼組數或是增加踹一組密碼花費時間的方法,
理論上都能強化密碼的安全性。
所以
錯誤一,「要求使用」特殊字元與英數大小寫的密碼比較難踹
很簡單的道理,能要求使用特殊字元當密碼的網站,代表輸入欄位能接受特殊字元。
在能使用特殊字元的前提下,是限制必須怎麼使用特殊字元的密碼組數比較多,
還是不限制使用特殊字元的密碼組數比較多?
廢話當然是不限制的比較多,報廢的越多剩下的越少天經地義
這個方法基本上就是針對字典攻擊,
但字典攻擊有效的密碼本來就因為有效字元少(可能組數少)而非常脆弱,
還不如十位的隨機密碼。
而即使是能強化密碼的方法,也有效果的差距,
多輸入一次就是上火度特別高外效果還特別爛的那種方法。
多輸入一次 = 踹一組密碼時間加倍 = 期望時間加倍
BUT,一般來說我們踹一組密碼要花多久?算0.01秒好了,
踹5次禁五分鐘的效果是:
踹5次禁五分鐘 = 平均踹一組密碼花1分鐘 = 期望時間6000倍
效果是多輸入一次的3000倍不說還不會上火。
然後即使是這個方法仍然贏不了多開放三位密碼:
多一位密碼(數字英文大小寫) = 增加至62倍的密碼組數
多兩位密碼(數字英文大小寫) = 增加至3844倍的密碼組數
多三位密碼(數字英文大小寫) = 增加至24萬倍的密碼組數
詳細就不寫了,透過簡單的複雜度(建議自己去查)計算,
防暴力破解的方法按有效性排列:
可用位數增加 > 可用字元增加 > 冷卻時間 >> 多輸入一次 > 0 > 強制特殊字元
其實一般10~12位的隨機密碼就已經非常硬了,其他都多打的,
再加冷卻時間完全足以能讓人放棄暴力破解。
駭客不是傻瓜,比起跟密碼死嗑,
還不如做個假網頁或是側錄讓使用者自己吐密碼出來簡單的多。
--
人是懶惰的,有限制特殊字元比不限制特殊字元的隨機性高
雖然算得很有道理,但是多數人會考慮自己的忘性,選擇對
自己有意義的字符,不使用特殊符號。
那種一堆奇怪要求的應該也不是防暴力破解 故意讓使用者
不能用慣用密碼 這樣其中其他地方流出密碼就不會被一次
全破
推最後 社交工程比較省事
用複雜到自己都會忘記的密碼本末倒置
我帳號密碼都隨機生成 就算實際帳密洩漏也不會影響
到其他帳號 密碼本紀錄用密碼A上鎖 但輸入時我會刪
掉後兩碼再往前跳兩碼 加上關鍵密碼B 密碼本.密碼邏
輯.密碼A.密碼B 如果駭客有辦法能夠同時取得 那也沒
什麼手段能阻止他了
+1 我也覺得長度比起複雜度安全 印象中 原本提出密碼
複雜度的學者也承認複雜度對安全性幫助不大了
97
首Po不為人知的工程師內幕 0_o 乾我真的看不懂 有沒有工程師能解釋一下XD8
不太懂這種設計的必要性 如果是要防機器人暴力破解 設定個密碼錯誤的CD時間就好 比方說密碼錯誤3次鎖1個小時之類的 搭配基本的密碼複雜度要求47
其實現在密碼要求的越來越複雜了。 以前-- 隨意輸入,最多可能就限你4個字以上。 現在-- 12個字+必須有英文跟數字+必須有大小寫+必須有特殊符號。15
好奇想借串問一下二階段認證是有什麼嚴重的缺點嗎? 因為工作的關係,會需要一些大公司平台的帳號 但這些平台有用二階段認證的非常少 基本上還是定期換密碼+新密碼不得用前幾次相同+失敗數次後一段時間內不能登入 但問題是每個平台要求更換密碼的週期的不一樣10
確實越來越多網站密碼要求越來越複雜,沒多久又要換一次 甚至有人做了一個遊戲來調侃 回到正題 密碼管理的話我會推薦使用bitwarden之類的密碼管理器去存4
15 年前發明煩死人的密碼規則,Bill Burr:抱歉浪費大家時間 最近 Bill Burr 接受 華爾街日報 訪問,提到了他很後悔也很抱歉為大家帶來這麼多困 擾。儘管這份白皮書是早在一般人還用不到網際網路的 1980 年代就完成,而且 Burr 當 時對此研究不深,他還是後悔讓大家設下太難懂又難記的密碼,況且其中很多規則可能放
79
[問卦] 系統要三個月換一次密碼且要複雜擾民?喔喔 公司的系統規定要三個月換一次密碼 且密碼要12字元 要複雜化 有英文大小寫 數字特殊符號混和 且不能跟前三次密碼一樣 靠北65
[大哭] 番號密碼公司電腦的密碼 需要最少8個字母 大小寫數字符號 而且 使用公司電腦時 在其他網站的登入EMAIL 或 網頁其他任何位置 輸入了公司那組密碼18
Fw: [心得] 一組密碼+md5=不會共用的萬用密碼作者: hn880265 ( ) 看板: Bank_Service 標題: [心得] 一組密碼+md5=不會共用的萬用密碼 時間: Mon May 31 21:27:40 2021 最近支付寶被盜才開始考慮密碼安全 之前有分敏感/涉及個資/免洗密碼約5組 但還是會共用到7
Re: [新聞] AI 新技術「秒破解」750萬組常用密碼組合最新測試:11 字元純數字密碼 AI 瞬間破解,擁抱無密碼功能才是王道 作者 Evan | 發布日期 2023 年 04 月 14 日 8:10 | 分類 AI 人工智慧 , 網路 , 資訊 安全 每隔一陣子總會爆出密碼被駭災情,每次災情後就伴隨許多要求密碼頻繁更新並使用強固6
Re: [問題] iphone 被人拿走 有任何辦法嗎?最近在youtube上還看到一個議題 若有人知道你其中一裝置的螢幕鎖定密碼 他偷到該裝置可以改你一整套icloud密碼 設定->icloud->密碼與安全性->更改密碼->輸入螢幕鎖定密碼->BOOM 到時你要用 find my 找你的裝置...就會發現icloud密碼被人改了4
[心得] 一組密碼+md5=不會共用的萬用密碼最近支付寶被盜才開始考慮密碼安全 之前有分敏感/涉及個資/免洗密碼約5組 但還是會共用到 被木馬側錄到其中一組其他共用的要改掉就很麻煩 就想到配合md5雜湊值來產生密碼 例如要產生12碼英數大小寫(以下舉例 不用照搬)3
[問卦] 真的有人註冊網站使用網站建議的密碼嗎?如題 申請網路網站帳號會員 通常需要一組帳號和密碼 帳號和密碼可能會給一些設定限制 比方說第一個字要是英文 大小寫都要用到之類的 但只要符合限制 多半是給使用者自行決定 然而有些網站1
[問卦] 某電商密碼只能用英文數字是啥小如題 今天在傳說還沒下單送貨員已在門口等 的知名電商買東西 下單後說密碼已經三個月沒更新 建議換掉現有的密碼3
[問卦] 系統的建議密碼真的有人在用?有時候一些網站想說密碼用久了 想要改一下 就會發現 重新設定密碼的條件越來越嚴格 必須要有大寫英文 不可連續數字 必須至少幾個字元 剛剛甚至看到 還必須要有特殊符號...... 現在想換個密碼真的越來越難想
17
Re: [PTCGP] 1529人參賽出輪32強牌組43
[婊子] 有人被龍蝦夾過嗎26
[閒聊] mygo 09 曾經的美好時光去哪16
[閒聊] 想找充滿驚人想像力的漫畫12
[閒聊] 青春之箱 17826
[閒聊] 平行天堂 280 知夫莫若妻15
[閒聊] 蔚藍檔案 優香 ASMR專用耳機 簡易開箱7
[黑白妹] 哀..我只是個無能的哥哥8
[Vtub] GIGI怎麼那麼黏Fauna?29
[MHG] 燃油車鬥魂三期製作決定,PV公開15
[Vtub] 壱百満天原サロメ 10人凸待ち7
Re: [閒聊] 電競房已經是現代家居標配了嗎6
[閒聊] 其他大作的譯者為啥沒朱出名12
[24秋] 魔王2099 11 哭啊 太狠了吧QQ44
[閒聊] 統神復胖需要多久36
[PTCGP] 1529人參賽出輪32強牌組21
[SC] 我覺得大半夜開快車不是很好啊21
[閒聊] 我好急5
[妮姬] 香腸愛麗絲part 337
[Vtub] 飴宮奈沙 2024122312
[閒聊] 擅長逃跑的殿下 18515
[閒聊] 參加聯誼沒有女生 吸引人的地方?39
[情報] 間諜家家酒108話5
[蔚藍] 219142雜圖26
[情報] 噗妮露是可愛史萊姆 二期決定64
[閒聊] 無限暖暖:三件以上是指至少四件10
[GKMS] 手毬:美鈴你是不是喜歡琴音...?60
[閒聊] 無嘴貓是怎麼走下神壇的?☺4
[Vtub] 12/22同接鬥蟲14
Re: [閒聊] 光線槍為什麼死透了?