密碼是當(dāng)代計(jì)算機(jī)系統(tǒng)基石，已被使用了數(shù)千年。當(dāng)向他人共享信息時(shí)，密碼作為身份識(shí)別的方法，使信息在個(gè)人之間是密碼的。

什么樣的密碼是一個(gè)好的密碼？

一個(gè)好的密碼可能只是一個(gè)6到8個(gè)字符的單詞或短語。但是我們現(xiàn)在有了最小長度準(zhǔn)則。在談?wù)撁艽a時(shí)，熵是可預(yù)測(cè)性的度量。此操作背后的數(shù)學(xué)并不復(fù)雜，但讓我們以更簡單的方法進(jìn)行檢查：可能的密碼數(shù)量，有時(shí)也稱為“密碼空間”。

如果一個(gè)字符的密碼僅包含一個(gè)小寫字母，則只有26種可能的密碼（“ a”至“ z”）。通過包含大寫字母，我們將密碼空間增加到52個(gè)潛在密碼。

隨著長度的增加和其他字符類型的增加，密碼空間將繼續(xù)擴(kuò)大。

查看上面的數(shù)字，很容易理解為什么我們鼓勵(lì)使用長密碼，并使用大小寫字母，數(shù)字和符號(hào)。密碼越復(fù)雜，就需要進(jìn)行更多的猜測(cè)。

但是，取決于密碼復(fù)雜性的問題在于，計(jì)算機(jī)在重復(fù)執(zhí)行任務(wù)（包括猜測(cè)密碼）方面非常高效。

去年，一臺(tái)試圖產(chǎn)生每個(gè)可能的密碼的計(jì)算機(jī)創(chuàng)下了新的記錄，它的速度超過了每秒100，000億次猜測(cè)。

通過利用這種計(jì)算能力，網(wǎng)絡(luò)犯罪分子可以在稱為蠻力攻擊的過程中，通過使用盡可能多的密碼組合對(duì)它們進(jìn)行暴力破解來侵入系統(tǒng)。

借助基于云的技術(shù)，只需8分鐘即可猜到8個(gè)字符的密碼，而費(fèi)用卻只有25美元。

此外，由于密碼幾乎總是用于提供對(duì)敏感數(shù)據(jù)或重要系統(tǒng)的訪問權(quán)限，因此這會(huì)激發(fā)網(wǎng)絡(luò)犯罪分子主動(dòng)尋找它們。它還推動(dòng)了利潤豐厚的在線市場(chǎng)銷售密碼，其中一些密碼包含電子郵件地址和/或用戶名。

密碼是如何存儲(chǔ)在網(wǎng)站上的？

網(wǎng)站密碼通常使用稱為哈希的數(shù)學(xué)算法以受保護(hù)的方式存儲(chǔ)。哈希密碼無法識(shí)別，無法將其轉(zhuǎn)換回密碼。

嘗試登錄時(shí)，將使用相同的過程對(duì)輸入的密碼進(jìn)行哈希處理，并將其與站點(diǎn)上存儲(chǔ)的版本進(jìn)行比較。每次登錄時(shí)都會(huì)重復(fù)此過程。

例如，使用SHA1哈希算法計(jì)算時(shí)，密碼“ Pa $$ w0rd”被賦予值“ 02726d40f378e716981c4321d60ba3a325ed6a4c”。自己嘗試一下。

當(dāng)面對(duì)充滿散列密碼的文件時(shí)，可以使用蠻力攻擊，嘗試每種字符組合以獲取一定范圍的密碼長度。這已經(jīng)成為一種常見的做法，以至于有些網(wǎng)站列出了常見密碼以及其（計(jì)算出的）哈希值。您可以簡單地搜索哈希以顯示相應(yīng)的密碼。

現(xiàn)在，盜竊和出售密碼列表非常普遍，可以使用專門的網(wǎng)站 haveibeenpwned.com來幫助用戶檢查其賬戶是否存在。如今已經(jīng)包括超過100億個(gè)帳戶詳細(xì)信息。

如果此站點(diǎn)上列出了您的電子郵件地址，則絕對(duì)應(yīng)該更改檢測(cè)到的密碼，以及在使用相同憑據(jù)的任何其他站點(diǎn)上。

使用更復(fù)雜的密碼？

您會(huì)認(rèn)為，每天發(fā)生如此多的密碼泄露事件，我們會(huì)改善密碼選擇的做法。不幸的是，去年的年度SplashData密碼調(diào)查顯示五年來幾乎沒有變化。

隨著計(jì)算能力的提高，該解決方案似乎會(huì)增加復(fù)雜性。但是，作為人類，我們不熟練（也不愿意）記住高度復(fù)雜的密碼。

我們還通過了僅使用兩個(gè)或三個(gè)需要密碼的系統(tǒng)的觀點(diǎn)。現(xiàn)在，訪問多個(gè)站點(diǎn)很普遍，每個(gè)站點(diǎn)都需要密碼（通常長度和復(fù)雜性各不相同）。最近的一項(xiàng)調(diào)查表明，平均每人有70-80個(gè)密碼。

好消息是有解決這些問題的工具?，F(xiàn)在，大多數(shù)計(jì)算機(jī)都支持在操作系統(tǒng)或Web瀏覽器中存儲(chǔ)密碼，通?？梢赃x擇在多個(gè)設(shè)備之間共享存儲(chǔ)的信息。

這不會(huì)阻止從易受攻擊的網(wǎng)站竊取密碼。但是，如果它被盜了，您將不必?fù)?dān)心在所有其他站點(diǎn)上更改相同的密碼。

這些解決方案中當(dāng)然也存在漏洞，但這也許是另一回事了。
責(zé)編AJX