为什么在特定字符限制之后,较大的密码在某些网站上被标记为“弱”?

信息安全 密码 密码策略
2021-09-09 14:26:53

在许多网站上,我们会看到一个指示符,我们的密码是弱密码还是强密码,可以很好地指示我们是否使用该密码。

我一直在一些网站上注意到,在我的“100% 强”密码输入 x 个字符后,将变为 0% 弱,只有 1 个字符“超出限制”。这是我多年来在多个站点上看到的,但在某些站点上,这根本不是问题。

我的问题是。

  1. 即使是完全随机的密码,是否有太多字符是一件坏事的原因?

  2. 为什么在 x 个字符之后它们被标记为弱,即使它们在 x 个字符之前非常强?

这个问题也与我在这里的另一个问题有关。强制重置密码字符限制但允许密码登录中的无限字符是否有任何安全优势?但想将它们分开,因为它们实际上是两个独立的问题。

1个回答

众所周知,密码强度计很弱

Concordia 的新研究揭示了密码强度计的弱点,并表明当条变为绿色时,消费者应该保持怀疑。

通常,在密码中添加一个字符不会使其变弱。只有在特定情况下这是不正确的。例如,MyPasswor可能是比MyPassword. 这并不意味着添加一个角色总是会让它变得更强大。例如,bcrypt 的最大长度为 56 字节(请注意,这是字节,而不是字符。)超过该长度的字符在存储密码时将被忽略。

作为一般规则,只需使用受信任的密码生成器或 diceware 创建随机密码,不要担心愚蠢的强度计。

其它你可能感兴趣的问题
上一篇我们可以安全地分发受密码保护的 .p12 文件吗? 下一篇CA之间的比较和区别