很难破解更长的密码?

<h1>trustwave说,更长的密码很难破解</h1>
<blockquote>它补充说,应采用两个因素身份验证进行网络访问.</blockquote>
<h2>如果您的密码少于8个字符,请立即更改它们,一项新研究说</h2>
<p>短而简单的密码可以在几秒钟内破裂. 长而复杂的? 数万亿年.</p>
<p>这是根据位于弗吉尼亚州里士满的网络安全公司Hive Systems的最新研究,该公司分解了可能需要普通黑客破解密码来维护您最重要的在线帐户的密码多长时间.</p>
<p>调查结果表明,即使是八个字符的密码,也可以在八个小时内通过平均黑客在八个小时内破裂的数字,大写字母,小写字母和符号。. 任何知道自己在做什么的黑客,即使他们只使用相当基本的设备.</p>
<p>同时,根据Hive Systems的数据,一个密码的长度为18个字符,并且使用数字,小写字母和大写字母以及符号的混合物可能需要长达438万亿年才能使平均黑客破解。.</p>
<p>该公司编辑了一个颜色编码的图表,以说明可以将不同的密码砍掉的速度,具体取决于其长度和使用各种字符的使用,以及由于更快的技术而自2020年以来如何加速这些时间:</p>
<p>这些调查结果备份了美国国家标准技术研究所等专家的建议,这也建议选择至少八个字符的长密码.</p>
<p>在研究中,Hive Systems进行了测试,以确定平均黑客的速度 – 意味着有人使用消费级设备,包括带有&ldquo;顶级图形卡&rdquo;的台式计算机 – 可以破解不同长度和复杂性的密码.</p>
<p>在博客文章中,公司研究人员解释了破解密码的过程如何工作. 它从一个称为&ldquo;哈希&rdquo;的过程开始,这是一个算法驱动的过程网站,用于掩盖黑客的存储密码.</p>
<p>如果将&ldquo;密码&rdquo;一词插入一个常用的哈希软件(称为MD5),则将获得此字符串:&ldquo; 5F4DCC3B5AA765D61D61D8327DEB8882CF99.&ldquo;这个想法是,如果黑客闯入网站的服务器以查找存储的密码列表,他们只会看到字母和数字的散布。.</p>
<p>当然,您不应该使用&ldquo;密码&rdquo;作为密码. 实际上,这是最终在黑暗网络上泄漏的最常见密码之一.</p>
<h2>trustwave说,更长的密码很难破解</h2>
<p><img src=”https://assets.infosecurity-magazine.com/profile/thumb/ea721ff9-8ba4-4d88-b386-57e9e1606077.jpg” alt=”菲尔·曼萨斯特(Phil Muncaster)” /></p>
<p>根据TrustWave的新研究,混合上下案例字母,数字和特殊字符并不会使密码更难破解,而只会增加角色的数量。.</p>
<p>安全公司的目的建造了两台机器,耗资近5,000美元,目的是破解2013年和2014年数千次渗透测试期间收集的626,718个哈希广告的样本.</p>
<p>该公司在其中写道:&ldquo;大多数示例来自Active Directory环境,包括Windows LAN Manager(LM)和NT LAN Manager(NTLM)的密码。&rdquo; <em>2014业务密码分析</em> 报告.</p>
<p>&ldquo;我们在最初的几分钟内恢复了一半以上的密码. 我们最终在31天内破裂了576,533或几乎92%.透明</p>
<p>该报告指出,尽管混合不同的字符和数字可能会使人类更难破解您的密码,但&ldquo;这不会使密码恢复密码以在密码裂缝工具中更加资源密集型&rdquo;.</p>
<p>它说:&ldquo;仅增加密码中的字符数量会极大地影响恢复密码的自动化工具的时间。&rdquo;.</p>
<p>TrustWave说,自动化工具可以破解由所有四种字符类型随机组成的八个字符密码要比仅由仅由上下案例字母组成的28个字符密码快得多.</p>
<p>这是3之间的区别.75天和17天.根据公司的说法,74年.</p>
<p>它解释说:&ldquo;对该集合的蛮力攻击涉及计算潜在密码的哈希,并将这些哈希与攻击者想要破解的密码哈希进行比较。&rdquo;.</p>
<p>&ldquo;如果该工具标识了匹配项,则破裂密码.该公司敦促公司&ldquo;教育用户选择更长的通过短语的价值,而不是简单,可预测,易于折断的密码&rdquo;.</p>
<p>它补充说,应采用两个因素身份验证进行网络访问.</p>
<p>报告总结说:&ldquo; IT管理员可以通过使用唯一的随机盐在存储密码时使用独特的随机盐来阻碍密码裂纹攻击,从而在计算哈希之前将一块独特的随机数据与每个密码组合在一起。&rdquo;.</p>
<p>&ldquo;安全密码存储与受过良好教育的用户结合在一起,并且设计适当的用户密码选择策略可以在帮助防止违规方面发挥至关重要的作用.透明</p>
<h2>密码101:它们如何入侵,为什么更长的时间更好</h2>
<p><img src=”https://www.relativity.com/relativity/cache/file/D618DA95-86F4-43A1-995940CA896C3931.png” /></p>
<p>当涉及密码时,像我们这样的安全团队经常遇到一些常见的误解. 最糟糕的是一种虚假的谦卑感.</p>
<p>太多的人不认为创建和记住复杂密码的值得努力,因为他们不相信任何恶意人会单独针对他们. &ldquo;为什么他们会尝试追随我的帐户?&ldquo; 他们问. &ldquo;他们绝不会对我个人定位.透明</p>
<p>让我们一劳永逸地解决一件事情:不是关于 <em>你</em>. 这是关于获得访问.</p>
<p>如果他们碰巧遇到了您的用户名,为什么他们不尝试您的密码进行一些猜测? 为什么不检查您是否已从默认值更改或将其更改为最常用的密码之一?</p>
<p>简而言之,攻击者不会 <em>需要</em> 针对你个人. 在许多情况下,他们从设法访问的数据库中提取了所有可以从哪个数据库中获取的密码. 您在新闻中看到了许多这样的泄漏. 另外,他们可能坐在您的网络上,从网络流量中收集随机密码哈希. 在手里掌握的情况下,他们只需要自己破解密码.</p>
<p>在这里,拥有更复杂的密码有助于挫败不良演员的努力.</p>
<h2>了解密码哈希</h2>
<p>在大多数情况下,攻击者已经掌握了您的密码哈希,而不是您的密码中的密码. 因此,这是什么意思,您如何利用哈希保护数据?</p>
<p>密码哈希是获取密码并通过称为哈希算法的众多可用数学算法之一的结果. 该过程的结果是 <em>似乎</em> 随机字符串的字符串 – 我们称之为哈希.</p>
<p>哈希的目的是提供一个安全的方法来存储密码. 我们不想将密码存储在纯文本中,因为如果我们这样做,可以访问数据库的任何人都可以读取每个人的密码. 但是,给定一个哈希,一个人无法分辨出什么是原始密码. 它(理论上,取决于选择哪种算法)无法获取密码哈希并将其倒转以揭示原始密码.</p>
<p>一个例子怎么样?</p>
<p>说我的密码是&ldquo; test1234&rdquo; – 即使我永远不会使用它,因为它非常虚弱,显然. 当我将密码通过哈希算法(准确地说是MD5)时,由此产生的哈希是&ldquo; 16d7a4fca7442da3ad93c9a726597e4.&rdquo;哈希是存储在数据库中的原因.</p>
<p>现在,如果我将&ldquo; 16D7A4FCA7442DDA3AD93C9A726597E4&rdquo;交给某人,他们不知道我的密码是&ldquo; test1234&rdquo;.</p>
<p>看看如果我只将密码中的一个字符更改为&ldquo; Test1234&rdquo;,会发生什么:由此产生的哈希是&ldquo; 2C9341CA4CF3D87B9E4E4EB905D6A3EC45.&ldquo;这是两个完全不同的,看似随机的字符字符串,即使原始密码非常相似. 这很好.</p>
<p>那么坏人如何如此轻松地破解密码,复杂性与它有什么关系?</p>
<p>关于密码哈希的事情是,对于通过相同算法运行的相同密码,哈希从未更改. 每次我进行&ldquo; Test1234&rdquo;并将其放入MD5算法时,它将导致&ldquo; 16d7a4fca7442da3ad93c9a726597E4.&ldquo;坏人怎么知道哈希,&ldquo; 16D7A4FCA7442DDA3AD93C9A726597E4&rdquo;,指示&ldquo; Test1234&rdquo;的密码? 输入密码饼干.</p>
<h2>了解密码饼干</h2>
<p>密码饼干提出了自己的密码,将它们通过哈希算法,然后将结果哈希与捕获的用户的哈希进行比较. 通常,饼干使用字典中的单词作为密码的基础. 这就是为什么使用常用单词(例如&ldquo; Spring19&rdquo;或&ldquo; Test1234&rdquo;)的密码很容易破解.</p>
<p>密码饼干还根据规则集,通过黑客提供的字符组合运行. 规则集是密码饼干如何操纵字符以创建密码.</p>
<p>例如,饼干将尝试将&ldquo; a&rdquo;更改为&ldquo;@&rdquo;,&ldquo; e&rdquo;为&ldquo; 3&rdquo;,使所有字母都大写,将数字添加到其末端,等等. 这些是用户中常见的语言&ldquo;技巧&rdquo;,因此黑客知道可以尝试一下.</p>
<p>返回到&ldquo; Test1234&rdquo;,密码饼干迅速创建了自己的密码并到达&ldquo; test1234&rdquo;,但它看到所得的哈希 – &ldquo; 2c9341ca4cf3d87b9e4eb905d6a3ec45&rdquo;.然后,它尝试&ldquo; Test1234&rdquo;,Hashe has han has has,并看到这一点 <em>是</em> 与被盗的哈希相同. 密码饼干告诉黑客&ldquo; Test1234&rdquo;导致匹配的哈希.</p>
<p>这是在获得哈希时发现密码的方式. 密码饼干非常迅速(在大多数情况下,每秒数十亿次)创建自己的密码,将其通过哈希算法,然后查看生成的哈希是否匹配用户的用户. 黑客没有完成工作;计算机程序是.</p>
<h2>较长密码的价值</h2>
<p>这就是密码破解的方式,但是如果它们都是随机和计算机化的,为什么创建更复杂的密码很重要?</p>
<p>为了回答这一点,这是一个漫画,突出了问题背后的统计数据(下面嵌入).</p>
<p> <img src=”https://imgs.xkcd.com/comics/password_strength.png” /></p>
<p>如您所见,长度是您的朋友在更强的密码方面. 密码越长,破解需要的时间越长. 当密码饼干有更多字符可以填充以猜测正确的密码时,它的可能性较小的可能性较小.</p>
<p>换句话说,如果您有 <em>长的</em> 密码.</p>
<p>许多组织(包括相对论)正在远离需要复杂的密码,而是朝向 <em>密码</em> 相反,设置至少20个字符. 这鼓励用户提出整个句子或短语,而不是一个带有一些特殊字符或数字的单词. 同样,长度增加了熵,这增加了未知数,因此很难猜测.</p>
<p>对于那些想保留单词密码的顽固用户,这里有一些建议:在开始时,将数字和特殊字符放在中间, <em>和</em> 密码结束. 这将有助于增加长度,从而增加其复杂性以及破解它的困难. 另一个选择是输入这些数字和特殊字符.</p>
<p>假设您的密码是&ldquo; Spring19!&rdquo;我们可以通过将其更改为&ldquo; springnineteenexclamationpoint.&rdquo;我们刚刚采用了一个密码,很可能会在几分钟之内破解(如果不早),并将其增加到30个字符的密码,从而大大增加了其熵. 您甚至可以在每个单词之间添加空间,如果它可以让您. 或者,更好的是,在每个单词之间添加另一个字符:.&rdquo;现在,这是一个可靠的密码,并且很容易记住.</p>
<p>良好的密码实践对于确​​保数据的安全至关重要,因为在当今的景观中,不良演员可以比您想象的要容易得多。. 在某些环境中,有权访问您的网络的人(授权或其他方面)可以在上线的前10分钟内访问密码哈希. 加上破解我们在此处讨论的弱密码所需的时间,这意味着他们可能需要不到15分钟才能获得有效的证书才能开始登录.</p>
<p>它在您身上有助于防止那些利用这种脆弱性的人访问您组织的所有数据好处.</p>
<p>CJ Wiemer是相对性安全团队Calder7的经理. 他花了多年的时间进入公司并告诉他们要解决什么,尽管他不知道为什么他对密码强度如此热衷.</p>
<h2>该图显示了一台计算机要入侵您的确切密码需要多长时间</h2>
<p><img src=”https://assets.weforum.org/article/image/responsive_big_A3z3X3ySVK-UqHXSvCbRqxDar0KHfT21pnif-HKUiEE.jpg” alt=”在键盘上打字的人的图片。” /></p>
<p>世界经济论坛在网络安全方面做什么?</p>
<h5>不要错过有关此主题的任何更新</h5>
<p>创建一个免费帐户并通过我们的最新出版物和分析访问您的个性化内容集合.</p>
免费注册
<p>许可和重新发布</p>
<p>世界经济论坛文章可以按照创意共享归因非商业 – 宣传词重新发布4.0国际公共许可证,并按照我们的使用条款.</p>
<p>本文所表达的观点仅是作者而不是世界经济论坛的观点.</p>
<h2>联邦调查局推荐密码复杂性密码</h2>
<p>更长的密码,甚至由简单的单词或构造组成,比带有特殊字符的简短密码更好.</p>
<p><img src=”https://www.zdnet.com/a/img/resize/cfe8bff3bdc8af3f2ab8d2a4252f39ca491137af/2018/08/21/a59867e9-8d75-40af-a87c-690638f8afa4/catalin-cimpanu.jpg?auto=webp&fit=crop&frame=1&height=192&width=192″ alt=”catalin-cimpanu.jpg” width=”192″ height=”192″ /></p>
由2月撰稿人Catalin Cimpanu撰写. 21,2020
<p>十多年来,安全专家就在线帐户选择密码的最佳方法进行了讨论.</p>
<p>有一个营地通过添加数字,大写字母和特殊字符来争辩密码复杂性.</p>
<p>本周,联邦调查局波特兰办公室在其每周的技术咨询专栏中被称为Tech Tueschent.</p>
<p>联邦调查局说:&ldquo;而不是使用很难记住的简短,复杂的密码,而是考虑使用更长的密码。&rdquo;.</p>
<p>它补充说:&ldquo;这涉及将多个单词组合成长15个字符的长字符串。&rdquo;. &ldquo;密码的额外长度使得很难破裂,同时也使您更容易记住.&ldquo;</p>
<h3>密码很难破裂</h3>
<p>联邦调查局建议背后的想法是,即使依靠更简单的单词而没有特殊字符,更长的密码也需要更长的时间来破解,并且需要更多的计算资源.</p>
<p>即使黑客从黑客公司窃取您的加密密码,他们也不会具有破解密码所需的计算能力和时间.</p>
<p>2015年发表的学术研究支持了这一论点,并解释说:&ldquo;增加长度的效果使延长字母的效果[添加复杂性].&ldquo;</p>
<p>联邦调查局的建议与现已发表的XKCD Webcomic相呼应,该网络commic使互联网用户广为人知的密封词 – 通用词的概念.</p>
<p>今天,有一些Web服务可以帮助您以XKCD样式生成密码短语.</p>
<p>还有开发人员可以用来在其应用中添加自动生成的密码函数的开源库.</p>
<p>此外,由于同样的原因,2017年发出的NIST密码建议还敦促网站和Web服务可容纳最多64个字符的密码字段 – 让用户选择密码,而不是短密码.</p>
<p>同样的NIST指南也建议在可能的情况下使用密码使用密码,在2019年11月发布的DHS安全提示中也提出了建议,还敦促用户尝试使用密码。.</p>

  Sonos玩:1值得