我想知道Gibson Research Corporation提出的关于添加填充的简单密码(= 非常容易记住)的概念(如果您不想点击链接,请参见下文)如何合理。
我了解吉布森在增加搜索空间等方面的目的,但我想知道这是否适用于现实世界的场景,即您的帐户的日常使用以及密码是“安全的”,即使它们的熵超低。
对于那些不想访问网站的人:
Gibson 有一个搜索空间计算器,它指示给定密码的搜索空间。搜索空间取决于密码的长度和构成密码本身的字符(字母 - 大写和小写 - 和/或数字和/或符号)
然后,他继续谈到密码长度以及字母、数字和符号混合的重要性。
一切都非常有意义,但是,用他自己的话说,“熵”并不重要:
熵:如果您有数学倾向,或者如果您有一些安全知识和培训,您可能熟悉“熵”或数据的随机性和不可预测性的概念。如果是这样,您会注意到第一个更强的密码比第二个(较弱的)密码的熵少得多。几乎每个人都一直相信或被告知密码的强度来自“高熵”。但正如我们现在所看到的,当唯一可用的攻击是猜测时,这种长期存在的常识。. . 是 。. . 不是 。. . 正确的!
他提到了2个密码:
1) D0g .....................
2) PrXyc.N(n4k77#L!eVdAfp9
并争辩说,虽然第一个比第二个更令人难忘(甚至包含一个字典单词),但“破解”它的时间比另一个所需的时间要大几个数量级,因此,它更安全。
这个概念合理吗?通俗地说...我应该将所有密码都更改为第一个密码(超级简单且超级长),还是只是在当今超连接的世界中自找麻烦?:)
熵在“在线帐户密码”世界中完全没用吗?
也许这个问题应该在 StackOverflow 上提出,因为更多地关注计算机系统授权机制中低熵密码的实际使用,以及密码破解。不知道...
现在可以吗,还是我应该更具体?这是题外话吗?
戴夫