问基于多个密码的密码创建模式

EN

这取决于你想要防范什么样的攻击：

• 如果您的密码是攻击者没有专门针对您的数以百万计的数据漏洞中的一个，那么您的密码实际上是10个随机字符，而不是8个字符。这将更难破解。
• 如果攻击者以您为目标，并且知道您的模式，那么它将不会为您提供任何保护。
• 如果攻击者以您为目标，并且不知道该模式，则在攻击者发现此模式之前，它可能会有所帮助。破解一个帐户会帮上一点忙，打破两个帐户会使模式变得明显，因此毫无用处。

所以你的系统有时会有所帮助，但并不总是如此。换句话说:你的“有效”密码长度将在8到10之间，这取决于你的威胁模型。但是，除非你有明确的理由不这样做，否则我只会忘记所有关于聪明的系统，而只是安装一个密码管理器。

到目前为止，答案一直是“如果我作为一个用户添加'.p‘结束我的所有密码在不同的网站”。

因此，我想解决另一种可能性--最初的问题可能意味着：“如果我作为一个系统程序员，在我所有用户的密码末尾加上'.p‘’”

您所描述的是"Pepper“--它是一个特定于应用程序的片段，在散列之前被附加到密码上。

这给你带来了什么？

• 它可以防止字典攻击(因为攻击者不会知道每个密码都有一个附加在末尾的特定字符串)。
• 它可以防止另一组凭据中的漏洞损害您的证书(因为其他系统的哈希(密码)不可能与您的哈希(Password+AppSpecificPepper)匹配)。

有什么不让你满意的？

• 它并不能防止一个密码被破解到所有具有相同密码的帐户，因为哈希(Password+Pepper)将匹配所有具有相同密码的帐户。

那么，什么时候一切都说了又做了？绝对--将'.p‘(或更长的秘密字符串)添加到用户密码的末尾。这使得密码比原来的8个字符更安全--最糟糕的情况是，攻击者成功地破坏了应用程序，得到了胡椒，在这种情况下，你就像你一开始就没有使用胡椒一样糟糕。但是，也要确保添加了一个Salt，这样就不会让攻击者用一个密码漏洞破坏多个帐户。

没有更多，也没有更安全。即使攻击者泄露了您的一个密码(如果您没有使用后缀2位数字，这对于攻击者来说是攻击规则的公共设置)，攻击者也不知道这一点。

但是，如果攻击者泄露了您的两个或更多密码，并试图破解其他密码，他肯定会看到该模式并使用它。