14个字符的密码真有必要吗

我听到越来越多的安全专家说&＃xff0c;为了阻止暴力密码黑客工具&＃xff0c;密码应该超过14个字符。但是&＃xff0c;对大多数企业用户群来说&＃xff0c;这似乎有点儿要求太高了。您对这个标准的密码长度有何建议?
　　答&＃xff1a;专家们建议的这个密码长度是有原因的&＃xff0c;且并不是因为暴力工具。而是因为彩虹表&＃xff08;Rainbow Table&＃xff0c;它是一张采用各种加密算法生成的明文和密文的对照表&＃xff09;&＃xff0c;稍后我们将对此作出解释。首先&＃xff0c;为安全起见&＃xff0c;现代应用程序和操作系统不会明文存储用户密码。相反&＃xff0c;因为用户重置密码&＃xff0c;输入的字母数字字符会进行加密算法&＃xff0c;创造了一个独特的加密哈希值&＃xff0c;它代表密码&＃xff0c;且它存储在系统中的一个文件里。当用户返回到访问系统&＃xff0c;通过输入序列相同的字母和数字&＃xff0c;系统生成一个动态哈希序列和它的值&＃xff0c;将它与原始文件的值对比&＃xff0c;确定用户输入的密码是否正确。
　　过去&＃xff0c;哈希密码被认为是一个安全的办法&＃xff0c;因为即使黑客能够获取系统的密码哈希文件&＃xff0c;但以计算机的能力&＃xff0c;采取随机输入密码与系统文件中已知的哈希值进行匹配&＃xff0c;是一个不可能完成的任务。然而&＃xff0c;由于这些信息的价值
　　以及当今计算机指数级的计算能力&＃xff0c;黑客已经开始采取将每一个密码字符序列组合映射到它们的哈希值——从A&＃xff0c;AA&＃xff0c;AAA开始&＃xff0c;通过整个字母数字序列&＃xff0c;并将结果存储在公开可用的表被称为彩虹表。这当然需要许多小时的努力&＃xff0c;但这种类型的工作正在进行中。从最初试图获取密码的哈希值开始&＃xff0c;表的范围和规模都在不断增长&＃xff0c;已经增长到密码低于12-14个字符长度的话&＃xff0c;那它们的哈希值现在很有可能存储在彩虹表中的某个位置。这意味着&＃xff0c;一个获得系统哈希文件的不怀好意的人可以轻松获得一个彩虹表&＃xff08;关于操作系统或应用程序的&＃xff09;&＃xff0c;从而查找哈希值来获得用户存储在里面的密码。不幸的是&＃xff0c;随着彩虹表的规模不断增长&＃xff0c;密码必须变得更长更复杂&＃xff0c;这样才能使别人获得用户哈希值的要做的努力更大更沉重。正在进行的组装彩虹表数据的工作&＃xff0c;可能会很快让关于最小密码长度的最佳做法的讨论变得毫无意义&＃xff0c;这也是很多专家认为对重要的有价值的数据的身份验证凭据来说&＃xff0c;密码一个糟糕的选择的主要原因。
　　尽管密码哈希文件会带来危险&＃xff0c;但使用强大的其他凭据&＃xff0c;如软件/硬件令牌&＃xff0c;生物识别技术和基于知识的认证&＃xff0c;这个问题可以很容易地得到解决。但在今天的市场中&＃xff0c;密码仍然是最常见的身份验证凭据。因此&＃xff0c;针对企业系统执行更长的最小密码长度&＃xff0c;可以帮助使密码不易受到暴力攻击。那么&＃xff0c;怎样才能使用户使用长密码更加方便?答案很简单&＃xff0c;通过使用“密码短语”。与其创建一个无意义的字符和数字的长字符串&＃xff0c;人们可以利用熟悉的句子&＃xff0c;建立他们心中的图像&＃xff0c;有人觉得这样更容易回想、记住他们的密码。例如&＃xff0c;如果用户有一个孩子在上学&＃xff0c;他们很可能想到这句话&＃xff0c;“我的孩子是五年级的优等生&＃xff0c;”这可以很容易地被翻译成他或她记得的密码&＃xff0c;如Bobbies#1OnThe5thGradeHR。或者一个人可能很喜欢音乐&＃xff0c;然后想&＃xff0c;“我高中毕业时最喜欢的乐队是Savage Garden&＃xff0c;”这可以转变成这个密码N1998ILovedSavageGarden。这两个例子中的密码都很复杂且很容易就超过了14个字符的长度。短和独特的密码组合也可以&＃xff0c;只不过在如何创建密码时需要一些想象力和不同的思考方式。(来源: 软件吧 )