PTT推薦

Re: [閒聊] 不為人知的工程師內幕

看板C_Chat標題Re: [閒聊] 不為人知的工程師內幕作者
peterturtle
(彼得龜)
時間推噓 7 推:7 噓:0 →:9

原文恕刪

先講結論,基本上你能想到的增加自己麻煩的反人類的機制,
幾乎都無助於強化密碼安全。


至於細節,若要講怎麼設密碼來防止暴力踹密碼,
就必須了解是怎麼暴力踹密碼的。

暴力踹密碼的基本方向不外乎兩種:字典攻擊與窮舉。
字典攻擊這個比較複雜先不提,
窮舉法破解密碼的所需期望時間基本上可簡單寫為:

期望時間 = 可能的密碼組數 x 平均踹一組密碼費時

所以任何能增加可能密碼組數或是增加踹一組密碼花費時間的方法,
理論上都能強化密碼的安全性。


所以

  錯誤一,「要求使用」特殊字元與英數大小寫的密碼比較難踹

很簡單的道理,能要求使用特殊字元當密碼的網站,代表輸入欄位能接受特殊字元。
在能使用特殊字元的前提下,是限制必須怎麼使用特殊字元的密碼組數比較多,
還是不限制使用特殊字元的密碼組數比較多?

廢話當然是不限制的比較多,報廢的越多剩下的越少天經地義

這個方法基本上就是針對字典攻擊,
但字典攻擊有效的密碼本來就因為有效字元少(可能組數少)而非常脆弱,
還不如十位的隨機密碼。



而即使是能強化密碼的方法,也有效果的差距,
多輸入一次就是上火度特別高外效果還特別爛的那種方法。

  多輸入一次 = 踹一組密碼時間加倍 = 期望時間加倍

BUT,一般來說我們踹一組密碼要花多久?算0.01秒好了,
踹5次禁五分鐘的效果是:

  踹5次禁五分鐘 = 平均踹一組密碼花1分鐘 = 期望時間6000倍

效果是多輸入一次的3000倍不說還不會上火。


然後即使是這個方法仍然贏不了多開放三位密碼:

  多一位密碼(數字英文大小寫) = 增加至62倍的密碼組數
  多兩位密碼(數字英文大小寫) = 增加至3844倍的密碼組數
  多三位密碼(數字英文大小寫) = 增加至24萬倍的密碼組數


詳細就不寫了,透過簡單的複雜度(建議自己去查)計算,
防暴力破解的方法按有效性排列:

 可用位數增加 > 可用字元增加 > 冷卻時間 >> 多輸入一次 > 0 > 強制特殊字元


其實一般10~12位的隨機密碼就已經非常硬了,其他都多打的,
再加冷卻時間完全足以能讓人放棄暴力破解。

駭客不是傻瓜,比起跟密碼死嗑,
還不如做個假網頁或是側錄讓使用者自己吐密碼出來簡單的多。

--

※ PTT 留言評論
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.137.71.6 (臺灣)
PTT 網址
※ 編輯: peterturtle (114.137.71.6 臺灣), 03/14/2024 02:51:57

labbat03/14 02:57人是懶惰的,有限制特殊字元比不限制特殊字元的隨機性高

Vulpix03/14 03:35雖然算得很有道理,但是多數人會考慮自己的忘性,選擇對

Vulpix03/14 03:35自己有意義的字符,不使用特殊符號。

as336670003/14 05:18那種一堆奇怪要求的應該也不是防暴力破解 故意讓使用者

as336670003/14 05:19不能用慣用密碼 這樣其中其他地方流出密碼就不會被一次

as336670003/14 05:19全破

Sinreigensou03/14 06:17推最後 社交工程比較省事

Sinreigensou03/14 06:18用複雜到自己都會忘記的密碼本末倒置

Pep5iC0589303/14 07:25我帳號密碼都隨機生成 就算實際帳密洩漏也不會影響

Pep5iC0589303/14 07:25到其他帳號 密碼本紀錄用密碼A上鎖 但輸入時我會刪

Pep5iC0589303/14 07:25掉後兩碼再往前跳兩碼 加上關鍵密碼B 密碼本.密碼邏

Pep5iC0589303/14 07:25輯.密碼A.密碼B 如果駭客有辦法能夠同時取得 那也沒

Pep5iC0589303/14 07:25什麼手段能阻止他了

WindSucker03/14 08:54http://i.imgur.com/r9NhUxF.jpg

tim520131403/14 12:42+1 我也覺得長度比起複雜度安全 印象中 原本提出密碼

tim520131403/14 12:42複雜度的學者也承認複雜度對安全性幫助不大了