创建新密码时,人们通常建议您同时使用大小写字符、数字和符号。添加其中任何一个如何增加密码的强度?
有26小写字母字符。让我们假设100在整个大写字母字符、符号和数字组中都有字符。现在让我们看看任何长度的密码6。可能有(26 + 100) ^ 6长度为 6 的密码。黑客有[1 / (26 + 100)] ^ 6机会猜到这样的密码。黑客无法判断您是否只使用了小写字母字符,或者您将小写字母字符与特殊字符混合在一起,因此他必须猜测每个字符的整个样本空间。但是,如果他知道您只使用小写字母,那么,是的,猜到您的密码的概率将增加到(1 / 26) ^ 6. 但在现实世界中,黑客无法确定您使用了哪组字符。
您的假设是攻击者密码猜测均匀分布在潜在密码域中。这个假设是不正确的:猜测倾向于更可能的密码,这些密码是小写的字典单词,因为用户最容易输入和记住。
使用复杂密码的好处是攻击者可能需要更长的时间来尝试您的密码作为猜测。顺便说一句,在考虑大型多用户系统时,“无需超越狮子”规则适用,并且在许多情况下,好的密码比其他用户的密码更复杂。如果攻击者专门针对您而不是系统,则情况并非总是如此。
如果你有复杂的密码,当潜在的黑客从服务器下载用户数据库时,它有可能不会被解码。存储为 MD5 或其他哈希的简单密码可以很容易地在一些哈希数据库中找到(另一方面,即使是复杂的密码也可能有匹配的哈希冲突)。
对希望至少泄露少量密码的数千名用户执行小写、6 个字母的暴力攻击要比尝试暴力破解一个用户使用所有字符要快得多。