更长的密码更安全?

<h1>想在网上保持安全? 这是您的密码应该多长时间</h1>
<blockquote>主要安全架构师</blockquote>
<h2>密码安全:复杂性与. 长度[更新2021]</h2>
<p>当涉及用户身份验证时,密码是并且已经是最常用的机制。密码用于访问计算机,移动设备,网络或操作系统. 本质上,它们是我们日常生活的一部分. 随着时间的流逝,需求发展了,如今,大多数系统的密码必须由一组冗长的字符组成,这些字符通常包括数字,特殊字符和上下案例的组合. 密码的强度被视为其复杂和/或长时间的函数。但是,最重要的是大小或复杂性?</p>
<p>任何系统,无论哪种方法用于识别和/或身份验证都易于黑客入侵. 受密码保护的系统或数据收集(认为银行帐户,社交网络和电子邮件系统)每天都进行探测,并且不仅要通过网络钓鱼和社会工程方法进行频繁的攻击,而且还会受到密码破解工具的攻击. 辩论总是开放的,长度与. 复杂性问题划分专家和用户. 两者都有利弊以及自己的支持者.</p>
<h2>不良密码习惯</h2>
<p>面对现实吧,大多数用户倾向于创建可怕的密码,并且很少更改它们. 今天,我们每天需要的每个系统,设备,帐户都有其自己的密码创建规则,并且很难(也许不可能)跟踪所有访问键. 写下密码,使用易于记录的单词或短语或创建较短的访问键是我们都要求定期使用密码的直接结果的问题,这是所有系统的直接结果. 有太多关键字要记住,人们通常会选择更安全,在线和离线的较弱密码.</p>
<p>弱和不安全的密码是安全问题,也是通往违规的门户,不仅会影响目标用户. 创建钥匙很重要.</p>
<p>在与选择不良密码有关的软件工程研究所(SEI)的证书部门报告的安全事件中. &ldquo;安全性仅与最弱的链接一样强大&rdquo;一词强调了用户在安全链中的角色的重要性,以及训练和帮助他们选择有效保护资产和数据的Passkeys的需求. 密码破解的演变继续进行,并且密码较弱只能使黑客的工作变得更加简单.</p>
<p>根据I-Sprint Innovations和EGOV创新的一份2015年年度公共部门信息安全调查调查,&ldquo;弱身份验证安全是数据泄露的主要原因,占损害记录的76%.此外,企业创新研究指出,&ldquo;基于密码的简单身份验证&rdquo;并不是保护所有这些宝贵数据的适当手段. 问题在于,许多组织仅依靠基于密码的身份验证,而没有选择更安全的身份验证系统(E.G., 基于PKI,基于OTP或基于上下文的身份验证,或者启用生物识别标识符).</p>
<h2>最佳密码?</h2>
<p>密码长度和复杂性的考虑是寻求理想密码的关键. 复杂性通常被视为安全密码的重要方面. 直觉上,字母数字和符号的随机组合似乎是防止破裂的最佳防御. 词典攻击得益于寻找最有可能单词组合的工具,无法及时&ldquo;猜测&rdquo;此类密码. 它们是否真的有效地抵抗所有攻击? 可能不会. 例如可能的组合. 这种攻击是臭名昭著的iCloud漏洞的中心,暴露了数百名名人的个人照片.</p>
<p>由于新机器的较高计算能力以及某些用户选择的角色组合的可预测性,蛮力的攻击变得特别有效. 由于记住随机数的序列的复杂性,实际上,用户通常会选择由连续数字和重复(例如123,4545)或相邻键盘键(Qwerty,ZXC等)制成的可预测序列(例如123,4545)。. 用户还可以从事许多其他风险行为,例如向下写密码或减少使用的字符数量. 当用户能够记住此类密码时,他们也倾向于在所有系统中始终如一地使用它们.</p>
<p>很长的密码也是如此? 可能. 冗长的密码通常与密码熵的增加有关,这基本上是键中有多少不确定性的量度. 熵的增加被认为与密码强度成正比. 因此,与较短的随机字符列表相比.</p>
<p>用实际单词制成的冗长密码绝对更容易记住,并且可以帮助用户以更安全的方式管理它们. 但是,如果用户选择彼此过于相关或太个人化的单词,可能会出现问题;这将为基于字典的密码工具打开大门,即使存在大量可能的组合,也可以猜测正确的顺序. 使用令人难忘或熟悉的事物(家庭,宠物或街道名称),即使在足够长度和复杂性的密码中也是不切实际的,因为它非常容易受到穿透器的发现.</p>
<h2>因此,是什么使密码安全?</h2>
<p>一篇有趣的Microsoft Technet博客文章展示了如何通过查看计算熵位的公式(以破解密码的困难程度的措施),强调长度的作用. 公式是log(c) / log(2) * l,其中c是字符集的大小,l密码的长度;从数学的角度来看,长度L(长度)在熵位的计算中如何具有主要作用. c通常包括符号,下部和上层案例字符以及总共96个可能的字符的数字,如果有些字符被排除在外:&ldquo;当以此光线查看密码时,它确实开始变得清楚多么重要的密码长度是多么重要,与确定的复杂性要求相反. 为此,如果您使用的是具有10个字符的密码(仅数字),以实现与94个字符集相同的熵(所有可能的ASCII字符),则只有双人密码的长度. 换句话说,一个由仅数字组成的16个字符的密码提供了与由94个可能的字符组成的8个字符密码相同的困难划分级别.透明</p>
<p>尽管方法的组合可能会更好:冗长且相当复杂的密码.</p>
<ul>
<li><strong>冗长</strong> – 短长的密码相对容易破坏,因此想法是创建更长的密码以增加安全性并使其不可预测. 那么所需的长度是多少? GTRI的研究科学家约书亚·戴维斯(Joshua Davis)说,2010年佐治亚科技研究所(GTRI)的一项研究讲述了12个字符的随机密码如何满足打败代码破坏和破解软件的最小长度要求。. GTRI的高级研究员理查德·博伊德(Richard Boyd)说:&ldquo;八个字符的密码现在不足……如果您将角色仅限于字母字母,则可以在几分钟内进行破解.&ldquo;无论如何,要安全起见,应采用12个字符的密码长度.</li>
<li><strong>强大而复杂</strong> – 强密码仍然是关键. 安全专家一致认为,上层和小写字母数字是提高密码强度并能够抵抗猜测和蛮力攻击的良好实践. 为了增加复杂性而不会损害易用性,用户可以通过插入空间,标点符号和拼写错误来修改密码。.</li>
</ul>
<p>虽然,最终,任何密码都可以妥协,但可以使用两种方法的组合来增加使用任何攻击方法破裂所需的时间.</p>
<p>当然,用户还需要意识到密码强度并非全部. 诸如在浏览器中使用自动保存功能或在桌面文件中保存密码之类的风险行为,甚至将损害最强的密码. 社会工程策略的祈祷也将失败使用任何强大,不可能的密码的目的.</p>
<p>还应通过系统管理员实施的措施来授予保护,这些措施可以使用工具来限制可以在系统拒绝任何访问数据之前可以进行的密码裂缝尝试的数量. 除了使用密码之外. 此外,在一家公司中,常规密码审核将有助于加强安全姿势,以确保所有访问Passkey的复杂性和强度都足够.</p>
<h2>结论</h2>
<p>基于密码的身份验证已经存在一段时间,这是最简单的安全形式,要求用户验证其身份。因此,即使在身份验证方法中,他们也不会很快消失,即使在其他安全的替代方案中,也可能会继续在网络安全的未来中发挥重要作用. 换句话说,尽管密码弱了,但密码不会死亡。因此,人们需要知道如何使密码&ldquo;少&rdquo;可预测. 直到&ldquo;人类的弱点被最小化或消除&rdquo;之前,也许&ldquo;消除人类与密码的互动并自动选择和改变是多个层面上的主要一步,&rdquo; Richard Walters GM/VP/VP,Intermedia,Intermedia,In In Indermedia,Intermedia,In Infosecurity杂志帖子</p>
<p>要求用户应用复杂性以及长度规则以及基本的安全惯例,以最大程度地减少看到其密码损害的几率. 如上所述. 通常,经常添加额外的安全性. 例如,将两因素身份验证耦合为用户提供更好的安全感,因为它提供了某种类型的物理或辅助验证.</p>
<p>多因素身份验证策略可能是识别和验证用户的更好方法。但是,如果密码较弱,则整个身份验证系统被削弱. 因此,创建可以抵抗攻击的密码的重要性仍然至关重要.</p>
<p>用户的意识对于传达使用可以真正保护数据资产的密码的重要性很重要. 当然,即使是最强大的密码也无法承受像凭证数据库那样的攻击,而黑客只需收集几十个密码和身份验证信息即可解码和闲暇时使用;但这是另一个问题.</p>
<h2>想在网上保持安全? 这是您的密码应该多长时间</h2>
<p><img src=”https://blog.1password.com/img/authors/jeffreygoldberg.jpg” alt=”杰弗里·戈德堡(Jeffrey Goldberg)” /></p>
<p> 杰弗里·戈德堡(Jeffrey Goldberg)于2018年10月10日</p>
<p>分享此页面</p>
<p>当您在线创建帐户时,通常会看到密码的建议或必需的长度. 但是,当每个网站或平台都有不同的建议时,可能很难确切知道您的密码应该多长时间.</p>
<p>6个字符? 12个字符? 24个字符? 选项无尽.</p>
<h2>内容</h2>
<ul>
<li>密码安全的基础知识</li>
<li>网站的传统密码要求</li>
<li>密码复杂性有多重要?</li>
<li>是什么使密码很强:最小值与最大长度</li>
<li>密码强度和熵</li>
<li>密码长度与复杂性</li>
<li>记住使用1Password的复杂密码</li>
<li>您需要记住的密码(和键入)</li>
<li>1Password的发电机=强密码长度</li>
</ul>
<p>简短的答案是,当使用1Password创建您不需要记住的密码时,您应该选择1Password建议的密码. 根据您使用的1Password的版本,您可能会在浏览器中看到建议的密码 – 在这种情况下,请使用. 如果您选择了1Password的密码生成器,请选择20个长度. 对于您需要记住的密码,请使用带有四个单词的1Password WordList Generator.</p>
<p>长答案? 继续阅读以找出真正应该有多长时间的密码以及是什么使密码足够强以确保您的在线存在.</p>
<h2>密码安全的基础知识</h2>
<p>首先,让我们看一下可以使用的不同类型的密码.</p>
<ul>
<li><strong>您需要记住的密码.</strong> 总会有一些密码需要了解. 例如,您公司笔记本电脑的密码或解锁密码管理器所需的密码. 我们建议在这些情况下使用强大但令人难忘的拼音.</li>
<li><strong>您不需要记住的密码.</strong> 如果您使用的是1Password这样的安全密码管理器,则不必记住其余的登录凭据. 密码管理器将通过创建,存储和自动填充密码来为您做艰苦的工作,而人脑太强,独特和随机的.</li>
</ul>
<p>您应该使用密码生成器来提出两种类型的密码. 认为您奶奶的宠物的名字足够安全以保护您的资产可能很诱人. 但是,密码破解系统很容易弄清楚人类创建的密码. 开发和配置破解软件的人比其他任何人都更了解人类如何创建密码.</p>
<p>因此,向前迈进,我们假设您正在使用安全的密码生成器.</p>
<h2>网站的传统密码要求</h2>
<p>如果您使用密码生成器,网站和其他服务要求的大多数要求都不适用. 这些规则旨在提示用户在没有密码管理器的支持的情况下自己提出强密码.</p>
<p>事实证明,这些规则和要求无需. 实际上,专家建议不要强加最小密码长度以外的任何要求. 尽管如此,人们可能仍然面临很长一段时间的密码要求,直到世界各地的网站更新其政策.</p>
<h2>密码复杂性有多重要?</h2>
<p>有一种普遍的信念,即需要数字和特殊字符会增加密码强度. 但是这些要求的效果在人为创建的密码和正确生成的密码方面有所不同.</p>
<ul>
<li>一个11个字符的人制造的密码,带有混合案例字母,数字和符号可能看起来像这样:letmein!123 .</li>
<li>1Password生成的11个字符密码仅使用混合案例字母,可能是这样的:lwlxgheawiq .</li>
</ul>
<p>即使没有任何数字或特殊字符,生成的密码也比人类创建的密码更难猜测.</p>
<p>这听起来可能是不合逻辑的,但是可以帮助人类提出更好密码的相同复杂性要求实际上会削弱机器创建的密码. 好消息是,由机器创建的产品开始很强大,以至于复杂性要求所造成的伤害很小.</p>
<h2>是什么使密码很强:最小值与最大长度</h2>
<p>大多数网站通常需要最小密码长度为8-10个字符. 当要创建新密码的任务时,许多人倾向于尽快提出一些简短的东西. 他们想注册,登录并继续前进.</p>
<p>我们懂了! 但这是一个问题:仅按下最低密码要求才能使您更容易破解密码. 除非您需要这样做,否则请确保您的密码至少为11个字符长.</p>
<p>那么,什么是强密码的示例? 查看以下内容:</p>
<ul>
<li>cjypatxm3py</li>
<li>Zpdgnrggarj</li>
<li>APNWFX7Z3VM</li>
</ul>
<p>这些示例表明,正确生成的密码并不总是需要过多的特殊字符. 1Password的密码生成器旨在创建具有数字和符号的复杂密码,因为许多网站仍然需要这些密码.</p>
<p>1Password的默认生成的密码长度为19或20个字符,具体取决于版本. 但这实际上是过分的! 当正确生成密码时,11-15个字符将为日常用户提供足够的保护. 但是,我们知道大多数人的版本更长,更舒适和安全.</p>
<h2>密码强度和熵</h2>
<p>定义为不确定性或随机性的度量,&ldquo;熵&rdquo;一词是指密码的强度.</p>
<p>在进行进一步之前,我们需要谈论用于创建密码的方法,以及如何影响熵. 假设您有一个计划,该方案从字母,数字和符号中生成11个字符密码. 每一个可能的结果都应该是同样的可能性 – 如果有可能提出LeTmein的可能性更高!123比lwlxgheawiq,然后将熵作为框架没有意义. 一些流行的密码生成器并不统一地创建密码,但是我们确保了1Password的安全密码生成器确实.</p>
<p>那么熵如何工作?</p>
<p>一个带有20位熵的密码很难破解,这是19位的密码. 20位密码的一半很难与21位密码相同. 一个带有20位熵的密码均匀地从2²绘制了可能的不同密码. 那刚好超过100万,大约是您从4个字符生成的密码中获得的力量.</p>
<p>因为密码涉及系统可以每秒进行数十万个猜测(如果密码很好)或每秒数千万的猜测(如果密码没有很好地哈希),那么20位密码太弱了,对于大多数目的. 仅从混合案例字母中绘制的11个字符密码有大约65位熵,这几乎足以满足任何目的.</p>
<h2>密码长度与复杂性</h2>
<p>使用熵作为测量,我们可以回到长度和性格复杂性如何促进密码强度的问题.</p>
<p>让我们对比两对密码生成设置 – 11个或12个字符,只需要数字与字母.</p>
<table> <tr><th>11个字符</th><th>12个字符</th><th>16个字符</th><th>20个字符</th></tr></th><tbody><tr><td>仅信</td><td>62.70</td><td>68.41</td><td>91.21</td><td>114.01</td></tr><tr><td>需要数字</td><td>65.26</td><td>71.26</td><td>95.18</td><td>119.04</td></tr></tbody></table>
<p>这里的教训是,添加数字可以提高强度,但密码通过长度的增加而增加了强度的提高. 更大的长度增加为创建困难密码带来了巨大的差异. 根据经验,每一点都对应于可能的选项数量增加一倍(因此,攻击者需要做的工作量增加一倍).</p>
<p>这使得比12个字符(68位)的16个字符,仅字母密码(91位)更难猜测800万倍,而具有数字的12个字符密码(71位)只有八倍的速度更难破解。比只有一封信.</p>
<p>这是一个示例,可以让您了解其中一些碎片的转化. 如果使用了70位密码,则是 <em>几乎可以确定</em> 超出主要政府可能破解的范围. 如果哈希的障碍很差,那就 <em>可能</em> 在一个愿意将至少数十万美元付诸实践的主要政府的力量范围内. 任何人会选择这种攻击线的情况很难想象. 一个90位密码远远超出了最坚定,最能力的攻击者的范围.</p>
<h2>记住使用1Password的复杂密码</h2>
<p>记住长密码很难. 记住很多长密码? 是的.</p>
<p>那就是像1Password这样的安全密码管理器出现的地方. 它会生成,记住并自动为您自动化您的凭据,因此您不必担心记住15-20个字符的Gibberish.</p>
<h2>您需要记住的密码(和键入)</h2>
<p>此外的例外是您必须记住的密码,例如登录到您的1Password帐户所需的密码. 在这些情况下,我们通常建议的密码类型(由随机字符组成的密码类型 – 都不是现实的,因为这太难记住了. 取而代之的是,您应该使用密码词,其中结合了几个真实但无关的单词,例如&ldquo;球橙色卡车).透明</p>
<p>一个四个字的密码(56位)足够强大,用于您使用的密码,因为我们很好地将其登录到1Password. 我们估计,袭击者将花费约7600万美元.</p>
<p>您的秘密密钥意味着密码裂纹不是对我们持有的数据的可行攻击. 但是,您的帐户密码和我们的哈希的强度是,您的防御能力是针对从一个设备中偷走的数据进行破解的尝试.</p>
<p>网络犯罪分子需要多长时间才能破解密码? 这取决于攻击者能够投入的资源,因此,与攻击者的成本交谈而不是时间更有用. 一个四字(56位)帐户密码将使攻击者损失约7600万美元,而五个字的人(71位)将需要超过一万亿美元的开裂工作. 即使政府可以破解四个字的密码,他们也可能会尝试较便宜的攻击线.</p>
<p>最重要的是:1Password帐户的密码是您数字防御的关键部分. 由于这是保护您在1Password中存储的所有内容的密码,因此选择一个好的密码很重要.</p>
<h2>1Password的发电机等于强密码长度</h2>
<p>使用正确生成密码的好处之一是,我们可以确切地知道它们的强度. 即使攻击者准确地知道如何生成,密码仍保持其力量. 这是人们为创建密码提出的许多聪明计划的反面.</p>
<p>这一切都导致了一个有趣的悖论.</p>
<p>密码方案变得越受欢迎,攻击者就越会调整其系统以适应它. 但是,适当的密码生成器即使每个人都使用它,并且攻击者知道该方案的每个细节. 我喜欢称密码创建建议的&ldquo;康德原则&rdquo;:如果每个人都这样做仍然很好.</p>
<p>准备使用强大且足够长的密码和密码器来保护自己? 访问1Password密码生成器以开始.</p>
<p><em>编者注:本文最后一次更新于2021年12月6日.</em></p>
<p><img src=”https://blog.1password.com/img/authors/jeffreygoldberg.jpg” alt=”杰弗里·戈德堡(Jeffrey Goldberg)” /></p>
<h3>免费注册14天!</h3>
<p>需要帮助生成独特而安全的密码? 通过注册1Password帐户来确保您的密码安全,并且您的信息安全. 您的前14天免费!</p>
<p>主要安全架构师</p>
<p> <img src=”https://blog.1password.com/img/authors/flag-worldwide.png” alt=”杰弗里·戈德堡(Jeffrey Goldberg) – 首席安全建筑师” /> <img src=”https://blog.1password.com/img/authors/jeffreygoldberg.jpg” alt=”杰弗里·戈德堡(Jeffrey Goldberg) – 首席安全建筑师” /></p>
<h4>关于这篇文章的推文</h4>
<h4>继续阅读</h4>
<p><img src=”https://blog.1password.com/articles/family-organizer-tips/header.png” alt=”照顾您的1Password家庭 – 家庭组织者的提示” /></p>
<h3>照顾您的1Password家庭 – 家庭组织者的提示</h3>
<h4>提示和建议</h4>
<p>奥利弗·哈斯拉姆(Oliver Haslam)2018年10月23日</p>
<p><img src=”https://blog.1password.com/articles/brute-force-protect/header.png” alt=”什么是蛮力攻击?它的工作原理和保护自己的技巧” /></p>
<h3>什么是蛮力攻击? 它的工作原理和保护自己的技巧</h3>
<h4>提示和建议</h4>
<h4>安全</h4>
<p>奥利弗·哈斯拉姆(Oliver Haslam)2018年10月2日</p>
<h2>密码安全:更长或更复杂?</h2>
<p><img src=”https://vaultone.com/wp-content/uploads/2020/02/imagem-post13-28fev20-seguranca-de-senhas.jpg” /></p>
<p>密码本质上是不安全的,因此您的公司需要为创建这些密码 . 他们需要超越基本知识,因为简单的密码对于黑客来说太容易了.</p>
<p>您的员工可能知道要创建强密码,经常更改它们,并互mix字符,字母和符号. 他们可能知道不要与其他员工分享他们的登录证书.</p>
<p>但是,随着关键业务信息的趋势存储在云中,您将失去对知识产权的控制,以至于每个登录和密码可能是您的数字安全性的弱点. 有时,许多员工必须使用相同的登录凭据,这是一个等待发生的安全漏洞.</p>
<h2>目录</h2>
<p><img src=”https://vaultone.com/wp-content/uploads/2021/02/CTA2-website-iamxpam-en.jpg” /></p>
<h2>密码:尺寸x复杂性</h2>
<p>如果您认为字母,数字和符号的随机组合将保护您的业务,那您将是错误的. 即使散布的数字和字母,如果密码简短,则用蛮力访问公司计算机可能只需几分钟.</p>
<p>如今,您的公司密码不仅需要复杂性. 他们需要长度 . 由于黑客使用Brute攻击您的数字生活的趋势,更长的密码总是比较短的密码更安全. 总是.</p>
<p>但是,向像HSJK $ dbav#ygwu%e782%这样的员工发出长期,复杂的密码,不仅会使黑客脱颖而出,而且很可能会被用户忘记. 记住上面的密码就像是一种记忆游戏,那里有成千上万的卡片面朝下,您的用户不知道从哪里开始.</p>
<h2>密码:密码创建2点关注点</h2>
<p>创建密码时有两件事要记住:计算机可以解密到多么容易以及用户回忆起多么容易?</p>
<p>好消息是,无需像上面的密码创建一个长的复杂密码. 使用密码或密码管理器是管理和保护公司登录凭据的两种简单方法.</p>
<h2>如何将长度添加到密码</h2>
<h3>用短语作为密码</h3>
<p>密码短语是一堆融合在一起的单词,以使每个用户难忘的唯一密码. 简而.&rsquo;</p>
<p>显然,单词越无关,对于基于字典的密码工具而言,它越难破解,那么即使像上面的一个简单句子也比一个简短的复杂密码更强.</p>
<p>让我们将C0mput4r%与更长的密码相提并论,&ldquo;我的真棒奶奶叫susu&rdquo;. 尽管第二个示例比较看起来很简单,而且更容易猜测,但实际上很难,因为还有更多字符. 同时,用户要记住要容易得多.</p>
<p><img src=”https://vaultone.com/wp-content/uploads/2021/02/CTA4-website-demo-en.jpg” /></p>
<h3>考虑一下,它是否与您认为有关密码了解的一切?</h3>
<p>等一下,这是否与您认为有关密码的一切? 您认为复杂性带来了安全性,并且该密码似乎太简单了.</p>
<p>让我们分解.</p>
<p>susu不是一个常见的英语单词,因此密码变得更难破解,默认情况下更安全. 更长的密码,即使是没有含义的简单单词列表,实际上比使用随机符号,数字和字母的复杂密码更加安全.</p>
<h3>密码:长度 +复杂性</h3>
<p>您总是可以使您的密码更安全. 长度结合复杂性获胜. 可以通过使用上和小写字母,符号和拼写错误的单词来进一步增强简单的密码。.</p>
<p>例如,&lsquo;我的awsum ! GR4N是Calld Susu&rsquo;,现在已成为非常强大的密码.</p>
<p>通过添加更多的字符,密码将变得更难破解而不使其变得如此复杂,以至于很难记住. 黑客使用的基于词典的工具并不能使拼写错误的单词很精明,因此拼写错误或使用不常见的英语单词是增强密码安全性的简单方法.</p>
<p>良好的密码/密码包含:</p>
<p> – 符号和数字.- 上和下情况.</p>
<h3>使用密码管理器</h3>
<p>密码可能被盗和忘记. 他们提供访问权限,因此为使用它们的人提供了权力,无论其意图如何,也可以绕过其他安全系统(例如防火墙). 密码需要大量管理,加强等,以供任何用途.</p>
<p>默认情况下,密码是不安全的,因此您需要处理它们并冒着数字安全风险的越少.</p>
<p>密码管理器是一种存储和组织公司密码和用户凭据的软件. 密码被存储了加密,通常需要一个主密钥来访问整个数据库. 密码管理器甚至可以自动生成和续订用户密码,将人为错误直接从方程式中删除.</p>
<h3>简而言之</h3>
<p>使用类似平台 <strong>Vaultone</strong> 允许您(您的公司和知识产权的所有者)决定如何访问和管理特权帐户. 它还可以使您完全控制自己的安全. 您可以通过保险库将用户访问到业务的某个部分,而无需实际目击密码.</p>
<p>总而言之,较短的密码更容易破解. 因此,您可以制作密码的时间越长,更复杂,而无需完全无法使用,越好. 在短语中添加空间,符号,拼写错误和大写字母是解决曲折记忆问题的好方法.</p>
<p>但是,确保您的数字属性安全性的最佳方法是使用密码管理器并从等式中删除人为错误.</p>
<p><strong>找出我们如何改善公司的安全性,立即与我们在Vaultone的专家交谈.</strong> </p>
<h2>使用密码,大小很重要!</h2>
<p><img src=”https://security.georgetown.edu/wp-content/uploads/sites/294/2020/09/passwordimage.png” /></p>
<p>根据互联网安全中心(CIS), <strong>长度</strong> 是一个好密码的最重要方面.</p>
<p>密码是 <strong>更多8</strong> 字符在统计上 <strong>很难猜测</strong> 比较短的.</p>
<p>在您的密码中使用随机单词,而不是您熟悉的单词是一个更好的练习.</p>
<p>精致的黑客工具可以更少地破解一个简短的密码 <strong>比3微秒</strong>!</p>
<p>在本文中,在英国国家网络安全中心本文中阅读有关在此处使用多个随机单词的重要性.</p>
<p><img src=”https://security.georgetown.edu/wp-content/uploads/sites/294/2020/09/shortpw.png” alt=”密码检查器显示可能需要3微秒来破解8个字符密码” width=”544″ height=”226″ /> <img src=”https://security.georgetown.edu/wp-content/uploads/sites/294/2020/09/longpw.png” alt=”密码检查器显示可能需要2亿年的时间才能破解16到20个字符的密码” width=”550″ height=”244″ /></p>
<p>随机生成的单词组或短语对开裂工具和信息挖掘更具抵抗力.</p>
<blockquote><p>根据LastPass,超过80%的与黑客有关 <strong>违规是由于密码薄弱或被盗.</strong></p> 万维网.LastPass.com</blockquote>
<p><strong>您需要知道的</strong>: 这 <strong>最佳方法</strong> 生成强密码的是创建一个真正随机的单词和符号组合,以形成不可预测的字符串.</p>
<p>大学信息安全办公室</p>
<p>大学信息服务</p>
<h2>密码101:它们如何入侵,为什么更长的时间更好</h2>
<p><img src=”https://www.relativity.com/relativity/cache/file/D618DA95-86F4-43A1-995940CA896C3931.png” /></p>
<p>当涉及密码时,像我们这样的安全团队经常遇到一些常见的误解. 最糟糕的是一种虚假的谦卑感.</p>
<p>太多的人不认为创建和记住复杂密码的值得努力,因为他们不相信任何恶意人会单独针对他们. &ldquo;为什么他们会尝试追随我的帐户?&ldquo; 他们问. &ldquo;他们绝不会对我个人定位.透明</p>
<p>让我们一劳永逸地解决一件事情:不是关于 <em>你</em>. 这是关于获得访问.</p>
<p>如果他们碰巧遇到了您的用户名,为什么他们不尝试您的密码进行一些猜测? 为什么不检查您是否已从默认值更改或将其更改为最常用的密码之一?</p>
<p>简而言之,攻击者不会 <em>需要</em> 针对你个人. 在许多情况下,他们从设法访问的数据库中提取了所有可以从哪个数据库中获取的密码. 您在新闻中看到了许多这样的泄漏. 另外,他们可能坐在您的网络上,从网络流量中收集随机密码哈希. 在手里掌握的情况下,他们只需要自己破解密码.</p>
<p>在这里,拥有更复杂的密码有助于挫败不良演员的努力.</p>
<h2>了解密码哈希</h2>
<p>在大多数情况下,攻击者已经掌握了您的密码哈希,而不是您的密码中的密码. 因此,这是什么意思,您如何利用哈希保护数据?</p>
<p>密码哈希是获取密码并通过称为哈希算法的众多可用数学算法之一的结果. 该过程的结果是 <em>似乎</em> 随机字符串的字符串 – 我们称之为哈希.</p>
<p>哈希的目的是提供一个安全的方法来存储密码. 我们不想将密码存储在纯文本中,因为如果我们这样做,可以访问数据库的任何人都可以读取每个人的密码. 但是,给定一个哈希,一个人无法分辨出什么是原始密码. 它(理论上,取决于选择哪种算法)无法获取密码哈希并将其倒转以揭示原始密码.</p>
<p>一个例子怎么样?</p>
<p>说我的密码是&ldquo; test1234&rdquo; – 即使我永远不会使用它,因为它非常虚弱,显然. 当我将密码通过哈希算法(准确地说是MD5)时,由此产生的哈希是&ldquo; 16d7a4fca7442da3ad93c9a726597e4.&rdquo;哈希是存储在数据库中的原因.</p>
<p>现在,如果我将&ldquo; 16D7A4FCA7442DDA3AD93C9A726597E4&rdquo;交给某人,他们不知道我的密码是&ldquo; test1234&rdquo;.</p>
<p>看看如果我只将密码中的一个字符更改为&ldquo; Test1234&rdquo;,会发生什么:由此产生的哈希是&ldquo; 2C9341CA4CF3D87B9E4E4EB905D6A3EC45.&ldquo;这是两个完全不同的,看似随机的字符字符串,即使原始密码非常相似. 这很好.</p>
<p>那么坏人如何如此轻松地破解密码,复杂性与它有什么关系?</p>
<p>关于密码哈希的事情是,对于通过相同算法运行的相同密码,哈希从未更改. 每次我进行&ldquo; Test1234&rdquo;并将其放入MD5算法时,它将导致&ldquo; 16d7a4fca7442da3ad93c9a726597E4.&ldquo;坏人怎么知道哈希,&ldquo; 16D7A4FCA7442DDA3AD93C9A726597E4&rdquo;,指示&ldquo; Test1234&rdquo;的密码? 输入密码饼干.</p>
<h2>了解密码饼干</h2>
<p>密码饼干提出了自己的密码,将它们通过哈希算法,然后将结果哈希与捕获的用户的哈希进行比较. 通常,饼干使用字典中的单词作为密码的基础. 这就是为什么使用常用单词(例如&ldquo; Spring19&rdquo;或&ldquo; Test1234&rdquo;)的密码很容易破解.</p>
<p>密码饼干还根据规则集,通过黑客提供的字符组合运行. 规则集是密码饼干如何操纵字符以创建密码.</p>
<p>例如,饼干将尝试将&ldquo; a&rdquo;更改为&ldquo;@&rdquo;,&ldquo; e&rdquo;为&ldquo; 3&rdquo;,使所有字母都大写,将数字添加到其末端,等等. 这些是用户中常见的语言&ldquo;技巧&rdquo;,因此黑客知道可以尝试一下.</p>
<p>返回到&ldquo; Test1234&rdquo;,密码饼干迅速创建了自己的密码并到达&ldquo; test1234&rdquo;,但它看到所得的哈希 – &ldquo; 2c9341ca4cf3d87b9e4eb905d6a3ec45&rdquo;.然后,它尝试&ldquo; Test1234&rdquo;,Hashe has han has has,并看到这一点 <em>是</em> 与被盗的哈希相同. 密码饼干告诉黑客&ldquo; Test1234&rdquo;导致匹配的哈希.</p>
<p>这是在获得哈希时发现密码的方式. 密码饼干非常迅速(在大多数情况下,每秒数十亿次)创建自己的密码,将其通过哈希算法,然后查看生成的哈希是否匹配用户的用户. 黑客没有完成工作;计算机程序是.</p>
<h2>较长密码的价值</h2>
<p>这就是密码破解的方式,但是如果它们都是随机和计算机化的,为什么创建更复杂的密码很重要?</p>
<p>为了回答这一点,这是一个漫画,突出了问题背后的统计数据(下面嵌入).</p>
<p> <img src=”https://imgs.xkcd.com/comics/password_strength.png” /></p>
<p>如您所见,长度是您的朋友在更强的密码方面. 密码越长,破解需要的时间越长. 当密码饼干有更多字符可以填充以猜测正确的密码时,它的可能性较小的可能性较小.</p>
<p>换句话说,如果您有 <em>长的</em> 密码.</p>
<p>许多组织(包括相对论)正在远离需要复杂的密码,而是朝向 <em>密码</em> 相反,设置至少20个字符. 这鼓励用户提出整个句子或短语,而不是一个带有一些特殊字符或数字的单词. 同样,长度增加了熵,这增加了未知数,因此很难猜测.</p>
<p>对于那些想保留单词密码的顽固用户,这里有一些建议:在开始时,将数字和特殊字符放在中间, <em>和</em> 密码结束. 这将有助于增加长度,从而增加其复杂性以及破解它的困难. 另一个选择是输入这些数字和特殊字符.</p>
<p>假设您的密码是&ldquo; Spring19!&rdquo;我们可以通过将其更改为&ldquo; springnineteenexclamationpoint.&rdquo;我们刚刚采用了一个密码,很可能会在几分钟之内破解(如果不早),并将其增加到30个字符的密码,从而大大增加了其熵. 您甚至可以在每个单词之间添加空间,如果它可以让您. 或者,更好的是,在每个单词之间添加另一个字符:.&rdquo;现在,这是一个可靠的密码,并且很容易记住.</p>
<p>良好的密码实践对于确​​保数据的安全至关重要,因为在当今的景观中,不良演员可以比您想象的要容易得多。. 在某些环境中,有权访问您的网络的人(授权或其他方面)可以在上线的前10分钟内访问密码哈希. 加上破解我们在此处讨论的弱密码所需的时间,这意味着他们可能需要不到15分钟才能获得有效的证书才能开始登录.</p>
<p>它在您身上有助于防止那些利用这种脆弱性的人访问您组织的所有数据好处.</p>
<p>CJ Wiemer是相对性安全团队Calder7的经理. 他花了多年的时间进入公司并告诉他们要解决什么,尽管他不知道为什么他对密码强度如此热衷.</p>