Re: [閒聊] 不為人知的工程師內幕

原文恕刪 先講結論，基本上你能想到的增加自己麻煩的反人類的機制， 幾乎都無助於強化密碼安全。 至於細節，若要講怎麼設密碼來防止暴力踹密碼， 就必須了解是怎麼暴力踹密碼的。 暴力踹密碼的基本方向不外乎兩種：字典攻擊與窮舉。 字典攻擊這個比較複雜先不提， 窮舉法破解密碼的所需期望時間基本上可簡單寫為： 期望時間 = 可能的密碼組數 x 平均踹一組密碼費時 所以任何能增加可能密碼組數或是增加踹一組密碼花費時間的方法， 理論上都能強化密碼的安全性。 所以 　　錯誤一，「要求使用」特殊字元與英數大小寫的密碼比較難踹 很簡單的道理，能要求使用特殊字元當密碼的網站，代表輸入欄位能接受特殊字元。 在能使用特殊字元的前提下，是限制必須怎麼使用特殊字元的密碼組數比較多， 還是不限制使用特殊字元的密碼組數比較多？ 廢話當然是不限制的比較多，報廢的越多剩下的越少天經地義 這個方法基本上就是針對字典攻擊， 但字典攻擊有效的密碼本來就因為有效字元少（可能組數少）而非常脆弱， 還不如十位的隨機密碼。 而即使是能強化密碼的方法，也有效果的差距， 多輸入一次就是上火度特別高外效果還特別爛的那種方法。 　　多輸入一次 = 踹一組密碼時間加倍 = 期望時間加倍 BUT，一般來說我們踹一組密碼要花多久？算0.01秒好了， 踹５次禁五分鐘的效果是： 　　踹５次禁五分鐘 = 平均踹一組密碼花１分鐘 = 期望時間6000倍 效果是多輸入一次的３０００倍不說還不會上火。 然後即使是這個方法仍然贏不了多開放三位密碼： 　　多一位密碼（數字英文大小寫） = 增加至62倍的密碼組數 　　多兩位密碼（數字英文大小寫） = 增加至3844倍的密碼組數 　　多三位密碼（數字英文大小寫） = 增加至24萬倍的密碼組數 詳細就不寫了，透過簡單的複雜度（建議自己去查）計算， 防暴力破解的方法按有效性排列： 　可用位數增加 > 可用字元增加 > 冷卻時間 >> 多輸入一次 > ０ > 強制特殊字元 其實一般１０～１２位的隨機密碼就已經非常硬了，其他都多打的， 再加冷卻時間完全足以能讓人放棄暴力破解。 駭客不是傻瓜，比起跟密碼死嗑， 還不如做個假網頁或是側錄讓使用者自己吐密碼出來簡單的多。 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.137.71.6 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/C_Chat/M.1710355765.A.F46.html