如何分析自定义密码的安全性?
假设person A为平均长度为5的密码选择15个单词,密码符合以下条件。
字条件:
- 第一个词不是一个有效的词,在任何字典里都找不到。它是平均单词长度的两倍,并满足所有条件的良好密码。
- Word n=2,直到单词n=7不是随机的,由人创建。
- Word n=8,直到word n=15真正随机生成为止。
- 所有有效的单词来自3种不同的语言。
进一步条件:
- 在随机位置将4个随机的特殊字符混合到密码中。
- 在随机位置将4个数字混合到密码中。
- 一个字母是大写的。
- 所有的词都被空间隔开了。
我了解到:
- 无效单词可能会随着长度的增加而增加安全性,因为它就像密码一样。
- 非随机部分随着长度的增加而降低安全性。
- 真正随机生成的部分随着长度的增加而增加安全性。
- 多种语言的使用增加了搜索空间。
- 点5-7增加安全性,如果真的随机选择.
我想知道的是:如何评估这个密码的整体安全性?
因为安全性仍然可以通过这些部分的组合显着地增加或减少。
场景1: Person B对创建一无所知。
场景2: Person B对密码有部分了解:
- 第一个词不是一个词。
- 一定有随机的和非随机的部分。
- 这些词来自不同的语言。
- 有数字和特殊字符混合在一起。
- 密码可能包含大写,它们可以分开。
也许更多,如果我忘了什么。
场景3: Person B对未知密码的创建规则了如指掌。
人B将如何在各种情况下进行,他们的努力的总体结果是什么?
回答 1
Security用户
发布于 2023-03-19 01:47:47
对于这个任务,您应该假设:
- 攻击者确切地知道您是如何生成密码的,包括从其中选择单词的确切单词列表(S) (柯克霍夫原理);
- 用于散列密码的方法是最坏的情况(非常快的散列,如MD5),因为这通常是未知的或不受防御者控制的;
- 攻击者具有目标级别的能力(例如,1万亿散列/秒);
- 有一个理想的时间来抵抗攻击(比如说,10年)。
密码的安全性应仅从A)真正随机选择的元素和B)可能组合的元素的总数中得出。绝对大小的B)应该足够大,使蛮力不可行-也许是10^25或更多的组合,取决于假定的攻击能力和目标抵抗时间。
还请注意,“平均”密码将在耗尽整个密钥空间所需时间的一半时间内被破解,因此您可能需要加倍强度,以使普通用户满足或超过目标抵抗时间。
换句话说:定义你的假设,然后计算你的密码有多少组合是可能的.你可以自己回答问题。:D
对于一个人来说,你的计划几乎肯定是很难记住的--这使得你的目标很可能不是支持人类的记忆。如果不是对人类来说,一个简单的等效熵/密钥空间的随机字符串将是很好的(所有这些复杂性都是不必要的)。所以这感觉像是一个人为的问题。
https://security.stackexchange.com/questions/269197
复制相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号