编辑指南:在互联网时代,各种网页和软件都需要设置密码,那么网络产品如何评估密码的强度呢? 本文介绍了五种密码强度的评估方法,感兴趣的朋友可以参考。
最近在制作网站端产品中遇到了密码强度的设定问题,因此寻找了很多解决方案。 据了解,大多根据谷歌提出的密码长度、英语大小写、符号组合评分进行密码强度评估。
什么是密码强度?
指密码对推测和暴力解读的有效性。
一般来说,这是指非法访问者获取正确密码之前的平均尝试次数。
密码的强度与长度、复杂性和不可预测性有关。
强密码可以降低安全漏洞的总体风险,但不能降低其他安全措施的需要。
攻击者能够提交推测的密码的速度是衡量系统安全性的重要因素。
一些系统在多次失败后暂时停止登录。 在没有其他安全缺陷的情况下,该系统可以使用相对简单的密码进行保护。
33558www.Sina.com/(Via .百度百科)。
根据NordPass 2020年的研究,五个最常见的密码是123456、123456789、图片1、密码和12345678。
首先,让我们看看破解这些密码需要多长时间。
收集整理了以下5种,进行了密码强度的评价方法。 可以根据产品数据风量管理的程度,选择匹配的版本进行生产使用。
一、简易版
http://www.Sina.com /
密码长度至少为8位。密码包含数字; 密码中包含符号; 密码既包含大小写。但是系统必须以某种形式存储用户密码,而当这些数据被盗时,就有极大的危险
第2款( 3358www.Sina.com/)1. 规则允许注册账户; 以密码不符合规则为目的进行提示。2. 验证
一个组合guofu拒绝,原因提示; 两个组合 guofu1024通过; 3个组合 guofu1024? 通过; 4个组合 Guofu1024? 通过。
二、常规版
http://www.Sina.com /
含
x 90:非常安全90 x80:安全( Secure ); 80 x70:强( Strong ); 70 x 60:一般(平均; 60 x25:弱( Weak; 25 x0:非常弱。以上
允许使用得分为3. 示例以上的密码注册账户; 以密码不符合规则为目的进行提示。1. 规则
Guofu1024? 25 20 20 10 5=80分安全。
三、专业版
http://www.Sina.com /
( Flat )均匀正/负比率; Incr :出现次数越多,正/负比例越大; Cond :根据增加的字符数调整加/减比率; n :出现次数; len :密码字符串的长度。2. 分数区间
ttps://www.jybweb.com/zb_users/upload/2022/tupian/suanming000178.jpg" img_width="1062" img_height="1218" alt="谈谈网页产品该如何评估密码强度" >3. 计算方式
- 最后的分数为加分条件和减分项目的条件;
- 分数的范围为0~100分;
- 分数不需达到最低字元即可计算。
4. 分数区间
- 60 > x > 0:未达标准;
- 70 > x ≥ 60:警告;
- 80 > x ≥ 70:已达标准;
- x ≥ 80:优秀(100为上限)。
5. 验证
允许得分为60分以上的密码进行账号注册。
6. 示例
- Aa123 → 43分→未达标准;
- Aa12L3→64分→警告。
四、HACK版
在彩虹表之前,已经出现了对哈希函数的破解算法,被称为“预计算的哈希链集”(Precomputed hash chains)。
密码彩虹表――示例有关防御彩虹表攻击,开发者在编码时请勿在密码散列函数中使用MD5或SHA1,在密码散列例程中使用密码盐来帮助应用程序“防虹”的编码。
另外,不在彩虹表中的密码强度较高。它是一个庞大的、针对各种可能的字母组合预先计算好的哈希值的集合。
不一定是针对MD5算法的,各种算法的都有,可以快速破解各类密码。在彩虹表中的密码给予提示。
比如,A12345 →此密码安全性低,请修改。
五、Fuzzy版
汪定教授团队对中国网民进行了密码习惯调查和比对先行密码强度模式后,提出了一种更为准确的评估模式。
Google 密码强度反馈选取了10个领域共50个流量排名靠前的网站,借助网站曾经泄露的密码数据库,先利用离线漫步攻击分析得到密码最常用的结构和使用频次的字典表。
测量核心公式:Nmin*log2Cmin,具体解释可参照论文解释。
作者提出从6个维度评估密码的强度,分别是:
- 长度要求密码不小于8位;
- 强制执行强制最小字符类型要求;
- 允许使用符号,带符号的密码通常比不带符号的密码安全得多;
- 使用常用弱密码的黑名单表(彩虹表),禁止使用;
- 禁用账户名或个人名;
- 向用户提供明确的密码建议和指导。
另外,中国用户喜欢把名字放在密码中,作者在破解过程中充分利用名字信息,对算法进行改进,用于度量密码强度测试。
彩虹表需要集成“中式密码”,比如,“woaini”、“5201314”、“zhangsan2022”和“longguofu123”之类的密码。
六、总结
在真实的世界,对于普通用户来说有没有办法可以设置真正意义上高强度的密码呢?
参照专家们给出的建议,你可以试试这样做。
1) 不要在密码中包含用户名、真实姓名、生日或公司名称,也不要包含任何与登录信息相关的信息。
例如,地址或电话号码。最好也不要包含任何可以在社交媒体上访问的信息,例如孩子或宠物的名字。
还有,比如在银行网站让你设置3个安全登录问题的时候,不要如实回答。
2) 研究发现45%的人使用8个字符或更少字符的密码。如果可能的话,密码的长度至少应为16个字符。
相较于在密码中加入非字母字符而言,增加长度可以更简单地使密码变强。
例如,12个字母的密码比12个数字的密码的破解难度仅大8倍。
但由16个仅字母字符组成的密码比由12个各类字符组成的密码的破解难度大800万倍。
3) 密码应包括字母、数字和字符的组合,不应包含任何连续的字母或数字,不应是“密码”一词或重复的相同字母或数字。
例如,guofu8888、mima777、password111。
4) 密码不应是在键盘上经常连续敲击的字符串。例如,asdfghjkl。
5) 密码不应与任何其他帐户共享。可以使用专业的密码管理器和定期修改密码(虽然很难),可以用密码强度工具帮忙生成密码。
密码的存在笔者一直认为是反人性的设计,但是它的存在对鉴权、保护隐私又有其必要性。
选择哪种密码强度取决于设计者对于“便捷”与“安全”的平衡,对于金融级别的产品,毫无疑问需要高强度或多重验证。
而对于轻应用,更多可把方便为主要考虑。
此外,笔者一直有种感觉,或者没有密码,使用生物生命特征才是更人性化的设计。
次之,用社交账号授权、手机动态验证码进行验证,对于安全性较低的产品也是不错的解决方案。
最后,没有一个密码是“最安全的”,如果有的话,把它写出来就会变得不安全,因为有成千上万的人会在他们的账户上使用它。
作者:龙国富,公众号:龙国富,分享用户研究、客户体验、服务科学等领域资讯,观点和个人见解。
本文由@龙国富 原创发布于人人都是产品经理,未经授权,禁止转载。
题图来Unsplash,基于CC0协议。