8个字符密码安全吗?

<h1>如何在不到一个小时的时间内破解8个字符的密码</h1>
<blockquote>所有这些都回到了8个字符密码及其固有数量的可能字符组合数. 使用传统的CPU密码破解，大约需要92年的时间才能使用大写，小写和数字进行8个字符密码猜测所有迭代. 对于可能的组合，仅七分钟就需要一个适度的GPU饼干.</blockquote>
<h2>8个字符密码已死</h2>
<img src=”https://i0.wp.com/tcblog.protiviti.com/wp-content/uploads/2017/09/High-Tech-Electronics.jpg?resize=1480%2C500&ssl=1″ />
密码数十年来一直是计算机安全的第一线和最后一条防线. 尽管计算能力指数增长，但8个字符密码仍然是许多组织的安全标准. 此密码长度不再可接受. 每位NT LAN Manager版本1（NTLM）的大写，小写和数字组合都可以在7分钟内猜测或“强迫”. 如果要包含所有特殊字符，该数字将变为96小时.
密码破解的类型
首先讨论不同类型的密码猜测攻击很重要. 密码破解主要有两个变化：蛮力和词典攻击.
<ul>
<li>蛮力通过字符的所有组合强迫迭代. 例如，如果密码是2个字符，蛮力强迫会猜测“ AA”，下一个是“ AB”，下一个将是“ AC”等. 直到所有组合用尽. 这种破裂的方法非常彻底，但是密码空间越长，它的效率很快.</li>
<li>字典攻击使用已知的单词列表，并通过该列表进行迭代，试图将字典单词与密码匹配. 本文将着重于蛮力强迫，并会在适当时对词典发作发表评论.</li>
</ul>
密码破解类型之间的区别很重要，因为大多数人都使用包含字典单词或单词变化的密码（$ ummer2017）. 由于使用通用词，攻击者通常在蛮力强迫之前使用字典攻击，因为它更有可能破解更长的密码. 但是，出于本文的目的.
密码行业标准为8个字符已有太长时间了
密码破解已经从开膛手约翰和该隐和亚伯的时代发展. 它有效地归结为使用图形处理单元（GPU）而不是中央处理单元（CPU）. GPU旨在迅速进行简单的计算，这使其成为破解密码的理想渠道. 利用这些简单的计算GPU的速度在浏览字母，数字和特殊字符的可能组合列表方面呈指数级成倍增长.
与许多其他安全标准不同，这八个字符密码长度“最佳实践”尚未演变. 此外，它对当前的Windows域构成了重大的安全风险. 对于一个复杂的攻击者来说，这是非常微不足道的是，利用响应者等工具并将其放入功能强大的GPU系统（通常只需要几分钟），获得有效的加密窗口哈希.
为5K构建密码饼干
一个相当强大的GPU饼干可以以低于$ 5,000的价格建造. 互联网上有许多指南，但从本质上讲，它归结为购买主板，处理器，电源，案例和内存，能够处理多个GPU. 通常可以购买所有这些组件以及4质量的GPU，价格低于$ 5K. 这些组件可以组装，可以安装操作系统，并且一个称为oclhashcat是使事情继续前进所需的. Oclhashcat是一个程序，可优化密码破解的GPU，并允许GPU测试每秒数十亿个密码.
考试
所有这些都回到了8个字符密码及其固有数量的可能字符组合数. 使用传统的CPU密码破解，大约需要92年的时间才能使用大写，小写和数字进行8个字符密码猜测所有迭代. 对于可能的组合，仅七分钟就需要一个适度的GPU饼干.
为了说明，Protiviti使用自定义的字符掩码，使用一个自定义的字符掩码，该掩码强迫每个大写，小写和数字上的数字进行了各种测试. 结果如下：
<ul>
<li>在〜35k哈希中，破裂了14％. 这表明在我们的样本中，14％的密码包含不超过8个字符，并且不包含任何形式的特殊字符. 这个8个角色裂缝大约需要1小时20分钟.</li>
<li>当相同的〜35K哈希相对于包含大写，小写，数字和特殊字符的8个字符面膜时，密码破解成功率几乎翻了一番，达到28％. 这个8个角色蛮力裂纹大约需要2天.</li>
</ul>
这里的结论不应低估： 25个人群中的25名用户在2天内破裂. 此外，应该注意的是，所有这些破裂的密码都完全合规在其各自的密码策略中. 这些破裂的密码中的每一个（约9,000个）代表了其公司的独特漏洞，可以通过增加密码长度要求来加强这些漏洞.
数学
密码破解背后的数学非常简单. 为了确定可能组合的数量，一个人占用密码的长度并将其乘以角色蒙版的功能. 例如，如果您尝试使用大写（26个字符），小写（26个字符）和数字（10个字符）来破解8个字符密码. 您将它们加在一起：26+26+10 = 62，并将其用作密码长度的指数：62^8. 下表显示了9个字符（62^9）和10个字符（62^10）密码之间的巨大区别：
<img src=”https://i0.wp.com/tcblog.protiviti.com/wp-content/uploads/2017/09/1.jpg?w=1267&ssl=1″ />
即使在150亿个密码猜测一秒钟（可以用5,000美元的饼干可以实现），从8到9到10也很重要. 如果我们添加特殊字符（总共94个字符），请看一下：
<img src=”https://i0.wp.com/tcblog.protiviti.com/wp-content/uploads/2017/09/2-3.jpg?w=1537&ssl=1″ />
该数学相对较快得出一些结论. 如果我们简单地将密码更改为9或10个字符，则相同的蛮力强迫技术会延长得多：
<ul>
<li>是时候猜测大写，小写和数字从7分钟以上，有8个字符到9个字符的5个小时以上，而10个字符将其带到9天</li>
<li>猜测大写，小写，数字和特殊字符的时间为4天，有8个字符，超过1年的9个字符，而10个字符将其延长10年</li>
</ul>
当我们使用10个字符时，数字急剧增加. 应当指出的是，与黑客的利润或国家赞助的演员相比，本案例研究中使用的环境的动力低.
是时候改变了
基于我们上面的结论，即使单个字符可以大大提高密码长度. 添加2个字符使它不太可能（除非是字典单词）. 利用长密码短语（带有空间的句子 – 不需要特殊字符）使得更难破解!
输入密码所需的长度和时间的次要变化可大大改善组织的安全姿势. 因此，为什么我们都不会重新考虑密码长度“行业标准”?
<h2>如何在不到一个小时的时间内破解8个字符的密码</h2>
<img src=”https://www.techrepublic.com/wp-content/uploads/2021/05/password-security.jpg” />
Hive Systems说，图形处理技术的进步已经减少了使用蛮力技术破解密码所需的时间。.
<img src=”https://www.techrepublic.com/wp-content/uploads/2021/05/password-security-770×578.jpg” alt=”密码安全概念” width=”770″ height=”578″ />
我们可能会获得通过会员链接或赞助合作伙伴关系等方法出现在此页面上的供应商的补偿. 这可能会影响他们的产品在我们网站上的出现方式和地点，但是供应商无法付费影响我们评论的内容. 有关更多信息，请访问我们的使用条款页面. 
安全专家一直建议我们创建强大而复杂的密码，以保护我们的在线帐户和数据免受精明的网络犯罪分子的影响. “复杂”通常是指使用小写和大写字符，数字甚至特殊符号. 但是，根据安全公司Hive Systems的研究.
<h3>必须阅读的安全覆盖范围</h3>
<ul>
<li>2023年为企业提供的10条最佳防病毒软件</li>
<li>infoblox发现稀有诱饵狗C2漏洞</li>
<li>在RSA，Akamai专注于假网站，API漏洞</li>
<li>电子数据保留政策（TechRepublic Premium）</li>
</ul>
如最近的一份报告所述，Hive发现，如果攻击者利用最新的图形处理技术，则可以在39分钟内破解8个字符的复杂密码. 一个七个字符的复杂密码可能会在31秒内破解，而一个字符六个或更少的字符可能会立即破解. 只有一种或两种字符类型的密码较短，例如数字或小写字母，或者只有数字和字母，只需几分钟即可破解.
根据Hive的研究. 一个只有数字的18个字符的密码需要三个星期才能破解，但是一个使用小写字母的字符数量相同，需要200万年才能破解. 此数据显示了为什么使用长长的真实但随机单词的密码相比，密码比复杂但短的密码更安全.
 <img src=”https://www.techrepublic.com/wp-content/uploads/2022/03/Hive-Systems-Password-Table-1-770×346.jpg” />
旨在快速破解复杂密码的黑客将需要最新，最先进的图形处理技术. 图形处理单元越强大，它可以执行诸如采矿加密货币和破解密码之类的任务越快. 例如，今天周围最高的GPU之一是NVIDIA的GeForce RTX 3090，该产品起价为1,499美元. 但是，即使是强大且价格较低的GPU也可以在相对较短的时间内破解长度较小且复杂性较低的密码.
Hive表示. 通过通过亚马逊AWS租用计算机和图形硬件，网络犯罪分子可以利用强大的GPU的多个虚拟实例，以相当低的成本执行密码破解.
由于图形技术的进展，大多数类型的密码需要比两年前更少的破解时间. 例如，一个带有字母，数字和符号的7个字符密码在2020年需要7分钟才能破解，但在2022年只有31秒. 鉴于这些技术的进步，您和组织如何更好地保护受密码保护的帐户和数据? 这里有一些提示.
<ul>
<li>使用密码而不是密码. 密码是一串经常随机单词的长字符串. 密码通常比密码更安全，但通常更容易记住. 例如：根据安全.org.</li>
<li>使用密码管理器. 由于不可能创建和记住多个复杂且冗长的密码，因此密码管理器是您最好的选择. 通过为您自己或组织中使用密码管理器，您可以为网站和在线帐户生成，存储和应用强密码.</li>
<li>使用强大的主密码. 如果您确实采用密码管理器，则需要尽可能有效地保护存储的密码. 这样做的方法是通过强大的主密码. 创建一个复杂而长的密码或密码，您可以记住这些密码或密码.</li>
<li>测试您的密码. 为了衡量潜在密码的强度，请在Security之类的网站上输入它.org. 该网站会告诉您破解该密码需要多长时间.</li>
</ul>
<h3>网络安全内部新闻通讯</h3>
通过与最新的网络安全新闻，解决方案和最佳实践保持一致来增强组织的IT安全防御能力.
周二和星期四交付
发布：2022年3月7日，8：24 AM PST修改：2022年11月1日，上午11:54 PDT请参阅更多安全性
<h3>也看</h3>
<ul>
<li>如何成为软件工程师：备忘单（TechRepublic）</li>
<li>备忘单：Windows 10（免费PDF）（TechRepublic）</li>
<li>雇用套件：iOS开发人员（TechRepublic Premium）</li>
<li>必读覆盖范围：编程语言和开发人员职业资源（Flipboard上的TechRepublic）</li>
</ul>
<h2>为什么8个字符密码不再足够长</h2>
<img src=”/wp-content/uploads/2018/05/banner2.png” />
密码需要独特而复杂才能抵抗网络犯罪分子的蛮力攻击，但是猜测密码需要黑客多长时间? 即使密码不包含足够的字符，它也可以在几秒钟内猜测. 
<h2>为什么需要复杂的密码</h2>
当需要密码时，通常需要采用要求密码包含最小字符并满足最低复杂性要求的策略. 这通常意味着密码必须至少为8个字符，并且应包含至少一个上下案例字母，一个数字和一个符号.
有充分的理由执行这些复杂性要求. 最新的图形处理技术使猜测密码的简短工作，甚至相对较短的复杂密码也可以在很短的时间内正确猜测. 使用最新技术，可以立即破解6个字符的密码，无论它是否包含上案字母和下案字母，数字和符号.
根据网络安全公司Hive Systems发布的最新报告，即使是8个字符的密码也可以很快破解. 仅由数字或下案字母组成的8个字符密码可以立即破解，如果密码包含上层字母和下层字母的混合. 如果除了上层字母和下案字母外，还使用了数字，则可以在7分钟内破解密码，并添加符号，只需39分钟即可猜测8个字符密码.
<h2>猜测密码需要黑客多长时间?</h2>
在最近修订的表中，考虑到图形处理技术的进展，Hive Systems显示了黑客brute迫使密码需要多长时间. 该表清楚地表明了确保密码足够复杂的重要性，而且还确保它们足够长. 每个额外字符的破解时间差异大大增加：7个字符的31秒，39分钟的8个字符，9个字符的2天，5个月的10个字符，10个字符的34年，为11!
<img src=”https://www.netsec.news/wp-content/uploads/2022/03/how-long-to-crack-a-password-hive-systems.jpg” alt=”猜测密码需要黑客多长时间” width=”800″ height=”420″ />
猜测密码需要黑客多长时间 – 来源：Hive Systems
这些时候假设黑客正在使用最新，最强大的GPU. 虽然这些价格昂贵 – 超过1,500美元，但黑客不一定需要购买硬件，因为租用硬件很容易且相对便宜. 例如，黑客可以使用云并通过亚马逊AWS租用强大的计算机和图形硬件，并且可以轻松地同时使用多台虚拟机进行密码破解.
<h2>使用密码管理器生成和存储密码</h2>
为所有帐户设置长而唯一的密码存在问题. 他们几乎不可能记住. 解决方案是使用密码管理器. 密码管理器可用于为所有帐户生成强，随机和唯一的密码，这些密码将被加密并存储在用户的密码库中. 他们将在需要时自动装满，也无需记住密码. 所需的只是用户密码保险库的一个强密码.
使该密码令人难忘的最佳选择是构成长密码短语. 如果该密码为15个字符，包括上下字母，数字和符号，则需要十亿年的黑客才能猜测它.
作者： Netsec编辑器
<h2>该图显示了一台计算机要入侵您的确切密码需要多长时间</h2>
<img src=”https://assets.weforum.org/article/image/responsive_big_A3z3X3ySVK-UqHXSvCbRqxDar0KHfT21pnif-HKUiEE.jpg” alt=”在键盘上打字的人的图片。” />
世界经济论坛在网络安全方面做什么?
<h5>不要错过有关此主题的任何更新</h5>
创建一个免费帐户并通过我们的最新出版物和分析访问您的个性化内容集合.
免费注册
许可和重新发布
世界经济论坛文章可以按照创意共享归因非商业 – 宣传词重新发布4.0国际公共许可证，并按照我们的使用条款.
本文所表达的观点仅是作者而不是世界经济论坛的观点.
<h2>在2020年，是8个字符密码足够好?</h2>
<img src=”https://media.licdn.com/dms/image/C5612AQFVLh4_IQUgYg/article-cover_image-shrink_720_1280/0/1607599560675?e=2147483647&v=beta&t=8IiEfrOssVq_LVrCPi0EONC454JKkyJI_1qChi67Z8Y” alt=”在2020年，8个字符密码足够好吗？” />
最近，我被问及“银行推荐” 8个字符大写，小写，数字和特殊字符密码在2020年仍然适用.
例如密码： D）4M*L＆K 满足典型的“良好” 8个字符密码的所有要求，而粗略的一眼也不容易记住.
在安全性查看密码强度工具.org“ https：// www.安全.org/ how-secure-is-my-password/它在8小时内通过标准计算机显示了它的破损. 不理想!
将长度增加到 d）4M*l＆kd％x71@zw 16个字符是理想的. 但是你怎么记得?
好密码的核心是两件事：
<ol>
<li>容易记住</li>
<li>难以解密</li>
</ol>
通过抬头看着您的肩膀或在键盘下的邮政笔记上涂抹的密码，抛开随意的一眼，这使计算机专注于解密它的前景.
计算机功能是纯粹的速度，并且能够将不同的数据集引用以快速，无意识地，无意识地“粉碎”一堆组合. 从计算的角度来看，采用的黑客方法是：
字典攻击：根据《牛津词典》，在英语词典中约有600,000多个单词，过去和现在. 词典攻击在密码输入点上砸碎了“词典”和变体. 使用现代计算机，它很快.
蛮力攻击： 顾名思义，蛮力用于通过有条理的逻辑方式来确定密码，但以不懈的音量和速度来确定密码. 作为一个平凡的例子，我10岁的女儿不记得她闪亮的新手提箱的锁定代码，后者有3位玻璃杯，该代码在000到999之间。. 一个简单的蛮力攻击使我依次尝试所有变量，字面上拨打000、001、002、003…一直到999. 她的解锁代码是晦涩的 – 很好! – 数字341. 关于蛮力表的有趣的是，它们是使用有关特定算法和人类偏见的已知数据填充的. 任何体面的蛮力表都将包括此处的变体https：// en.维基百科.org/wiki/list_of_the_mast_common_passwords – 在数据集中编程. 不要使用这些.
同样，如果您是针对“可口可乐”之类的大品牌的黑客，那么您的蛮力表将包括具有行业特定术语的有偏见和L33T字符中的混合变体. e.G. 可乐可乐，C0K3 C0L4，Cokecola，Cokezero，Cokefree，Cokediet，Pepsikiller，Cokepepsico，Pepsicosux等. 这些单词都不是在字典中. 一个好的蛮力表将尝试纳入这些人类偏见的条目.
彩虹桌：类似于蛮力表，彩虹表是具有已经计算出的密码集的彩虹表，但是这些表是基于不同的算法或“哈希”，用于加密密码，并包含算法创建的特殊字符和数据集. 彩虹桌的事情是它们很大而复杂，但是如果黑客有时间，他们就可以进入.
所以回到前提是8个字符足够好?
现代计算机可以快速有效地进行词典，蛮力和彩虹攻击，这意味着谦虚的8个角色是吐司. 为了说明这一点，使用简单，易于记住的术语，除了我的示例7和16，您可以看到，随着密码的增加，解密的时间增加了.
<ol>
<li>需要密码的复杂性来最大程度地减少随机的粗略眼光并阻止快速召回</li>
<li>长度是真正重要的 – 12个字符很好，14个很棒，16是最好的.</li>
</ol>
就像不久前的8个字符相当不错的那样，上面的内容是量子计算. 我不希望将64个字符密码视为规范.
进一步阅读：
Alphr – 十大密码破解技术
诺顿 – 如何保护密码
avast – 强大的密码想法
McAfee – 15个提示更好的密码安全性
CNET – 9个强密码的规则如何创建和记住您的登录凭据
福布斯 – 关于密码安全的4件事