※ 本文轉寄自 ptt.cc, 文章原始頁面
Re: [閒聊] 不為人知的工程師內幕
原文恕刪
先講結論,基本上你能想到的增加自己麻煩的反人類的機制,
幾乎都無助於強化密碼安全。
至於細節,若要講怎麼設密碼來防止暴力踹密碼,
就必須了解是怎麼暴力踹密碼的。
暴力踹密碼的基本方向不外乎兩種:字典攻擊與窮舉。
字典攻擊這個比較複雜先不提,
窮舉法破解密碼的所需期望時間基本上可簡單寫為:
期望時間 = 可能的密碼組數 x 平均踹一組密碼費時
所以任何能增加可能密碼組數或是增加踹一組密碼花費時間的方法,
理論上都能強化密碼的安全性。
所以
錯誤一,「要求使用」特殊字元與英數大小寫的密碼比較難踹
很簡單的道理,能要求使用特殊字元當密碼的網站,代表輸入欄位能接受特殊字元。
在能使用特殊字元的前提下,是限制必須怎麼使用特殊字元的密碼組數比較多,
還是不限制使用特殊字元的密碼組數比較多?
廢話當然是不限制的比較多,報廢的越多剩下的越少天經地義
這個方法基本上就是針對字典攻擊,
但字典攻擊有效的密碼本來就因為有效字元少(可能組數少)而非常脆弱,
還不如十位的隨機密碼。
而即使是能強化密碼的方法,也有效果的差距,
多輸入一次就是上火度特別高外效果還特別爛的那種方法。
多輸入一次 = 踹一組密碼時間加倍 = 期望時間加倍
BUT,一般來說我們踹一組密碼要花多久?算0.01秒好了,
踹5次禁五分鐘的效果是:
踹5次禁五分鐘 = 平均踹一組密碼花1分鐘 = 期望時間6000倍
效果是多輸入一次的3000倍不說還不會上火。
然後即使是這個方法仍然贏不了多開放三位密碼:
多一位密碼(數字英文大小寫) = 增加至62倍的密碼組數
多兩位密碼(數字英文大小寫) = 增加至3844倍的密碼組數
多三位密碼(數字英文大小寫) = 增加至24萬倍的密碼組數
詳細就不寫了,透過簡單的複雜度(建議自己去查)計算,
防暴力破解的方法按有效性排列:
可用位數增加 > 可用字元增加 > 冷卻時間 >> 多輸入一次 > 0 > 強制特殊字元
其實一般10~12位的隨機密碼就已經非常硬了,其他都多打的,
再加冷卻時間完全足以能讓人放棄暴力破解。
駭客不是傻瓜,比起跟密碼死嗑,
還不如做個假網頁或是側錄讓使用者自己吐密碼出來簡單的多。
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.137.71.6 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/C_Chat/M.1710355765.A.F46.html
Re: 回文串
97245
[閒聊] 不為人知的工程師內幕
C_Chat03/13 10:16
841
Re: [閒聊] 不為人知的工程師內幕
C_Chat03/13 10:35
47110
Re: [閒聊] 不為人知的工程師內幕
C_Chat03/13 10:56
1541
Re: [閒聊] 不為人知的工程師內幕
C_Chat03/13 11:41
1017
Re: [閒聊] 不為人知的工程師內幕
C_Chat03/13 12:37
416
Re: [閒聊] 不為人知的工程師內幕
C_Chat03/13 17:29
716
> Re: [閒聊] 不為人知的工程師內幕
C_Chat03/14 02:49
16 則留言
peterturtle 作者的近期文章
34C_Chat
Re: [IWIN] 再說一次,不是 "訂一個能接受的標準"AI就是計算機學,計算機學有個特性就是,輸入變數一樣輸出就應該一樣 理論上只要記下每個使用過的亂數與輸入資料, 就理應可以訓練出完全一樣的模型,或是畫出一個像素都不差的結果。 所以只要模型製作者有保存訓練用圖庫,並提供使用者參考亂數, AI
15C_Chat
[閒聊] 香開所謂的玩家3000萬未必都是遊戲玩家這算是香開常見的槽點之一,日本就這麼多人怎麼可能那麼多人都在玩一套遊戲? 但我覺得這是可以解釋的,因為事實上這些遊戲玩家未必都是來玩遊戲的 (笑) 這邊我簡單介紹一下之前追的另一個作品 賽博雌小鬼《Destiny Unchain Onlin
推
→
→
推
→
→
推
推
推
→
→
→
→
推
推
→