我认为密码的强度取决于可能组合的总数。因此,允许更长的密码应该更安全,因为这样您就有更多的可能性。但是为什么有些系统会设置最小数量呢?这不是简单地减少了可能组合的数量吗?
强制最小密码长度不会通过减少可能组合的数量来使密码变弱吗?
信息安全
密码
密码策略
2021-09-02 00:51:23
4个回答
这不是简单地减少了可能组合的数量吗?
是的,但不是很明显。
作为类比,考虑仅由大写字母 AZ 组合而成的密码,最大长度为 8。总可能性数 = 26 8 + 26 7 + ... + 26 + 1 = 2172 亿。如果将其限制为最小长度 6,则消除长度为 5 或更短的密码,这些密码的总可能性为 26 5 + 26 4 + ... + 26 + 1 = 1240 万,只是其中的一小部分更大的密码空间。
即使您允许使用 128 字节的密码,大多数人也会选择 10 个字符或更少的密码。有些人甚至会选择短至 1-3 个字符的内容。黑客知道这一点,并首先暴力破解这些可能性。事实上,在大多数蛮力黑客程序中,它们自然会首先出现,因为它们从最短的可能性开始并构建到更长的可能性。因此,最低限度。
就您而言,它确实最大限度地减少了总可能性,但不是很多,因为与 MSB 相比,LSB 的数量并不多。
我会说它减少了系统中易于破解的密码数量。
不,因为密码越长,破解所需的时间就越多。通过设置最小长度,设计者强制用户输入更长的密码。
其它你可能感兴趣的问题