密码是现代计算机系统的基石,已经使用了几千年。与他人共享信息时,密码用作识别方法,使个人之间的信息加密。什么是好的密码?一个好的密码可能只是6到8个字符的单词或短语。但是我们现在有一个最小长度标准。在谈论密码学时,熵是衡量可预测性的指标。此操作背后的数学原理并不复杂,但让我们以更简单的方式对其进行研究:可能的密码数,有时称为“密码空间”。如果单字符密码仅包含一个小写字母,则只有26个可能的密码(“a”到“z”)。通过包含大写字母,我们将密码空间增加到52个潜在密码。随着长度的增加和其他字符类型的添加,密码空间将继续扩展。查看上面的数字,很容易理解为什么我们鼓励使用长密码以及使用大小写字母、数字和符号。密码越复杂,就越需要猜测。但密码复杂性的问题在于,计算机在重复执行任务(包括猜测密码)时效率很高。去年,一台尝试生成所有可能密码的计算机创造了每秒超过100,000亿次猜测的新记录。通过利用这种计算能力,网络犯罪分子可以通过使用尽可能多的密码组合强制系统来闯入系统,这一过程称为暴力攻击。借助基于云的技术,只需8分钟即可猜出8个字符的密码,费用低至25美元。此外,由于密码几乎总是用于提供对敏感数据或重要系统的访问权限,这促使网络犯罪分子积极寻找密码。它还推动了一个利润丰厚的在线销售密码市场,其中一些密码包含电子邮件地址和/或用户名。密码是如何存储在网站上的?网站密码通常使用称为哈希的数学算法以受保护的方式存储。散列密码无法识别,也无法转换回密码。尝试登录时,使用相同的过程对输入的密码进行哈希处理,并将其与网站上存储的版本进行比较。每次登录都会重复此过程。例如,密码“Pa$$w0rd”在使用SHA1哈希算法计算时的值为“02726d40f378e716981c4321d60ba3a325ed6a4c”。自己试试吧。当面对一个充满散列密码的文件时,可以使用暴力攻击,尝试密码长度范围内的每种字符组合。这已经成为一种常见的做法,以至于一些网站列出了常见的密码及其(计算的)哈希值。您可以简单地搜索哈希以显示相应的密码。如今窃取和出售密码列表非常普遍,以至于专门的网站haveibeenpwned.com可以帮助用户检查他们的帐户是否存在。今天包含超过100亿个帐户详细信息。如果您的电子邮件地址列在此站点以及使用相同凭据的任何其他站点上,则您绝对应该更改检测到的密码。使用更复杂的密码?您可能会认为,鉴于每天都在发生如此多的密码泄露事件,我们应该改进我们的密码选择做法。不幸的是,去年的年度SplashData密码调查显示五年来变化不大。该解决方案似乎随着计算能力的增加而增加复杂性。然而,作为人类,我们不擅长(也不愿意)记住高度复杂的密码。我们还通过了仅使用两个或三个需要密码的系统的观点。现在访问多个站点很常见,每个站点都需要一个密码(通常具有不同的长度和复杂性)。最近的一项调查显示,普通人拥有70-80个密码。好消息是有工具可以解决这些问题。大多数计算机现在都支持在操作系统或网络浏览器中存储密码,通常可以选择在多个设备之间共享存储的信息。这不会防止易受攻击的网站窃取密码。但是,如果它被盗,您不必担心在所有其他站点上更改相同的密码。当然,这些解决方案也存在漏洞,但也许那是另一回事。
