设置强而长的密码

几乎没有一个星期会消失，因为有数据泄露的消息泄露了数百万或数十亿个密码。 在大多数情况下，实际公开的是通过哈希算法运行的密码版本，而不是密码本身。 Trustwave的最新报告显示，当用户创建愚蠢的密码时，哈希处理无济于事，并且长度比密码复杂度更为重要。

黑客在破解StatelyPlumpBuckMulligan或ItWasTheBestOfTimes之前会先破解@ u8vRj&R3 * 4h。

散列出来

散列背后的想法是，安全网站从不存储用户密码。 而是通过哈希算法存储运行密码的结果。 散列是一种单向加密。 相同的输入始终会产生相同的结果，但是无法将结果返回原始密码。 登录时，服务器端软件会对输入的内容进行哈希处理。 如果它与保存的哈希匹配，那么您就进入了。

这种方法的问题在于，坏人也可以使用哈希算法。 他们可以通过算法在给定的密码长度下运行字符的每种组合，并将结果与​​被盗的哈希密码列表进行匹配。 对于每个匹配的哈希，他们已经解码了一个密码。

在2013年和2014年初的数千次网络渗透测试过程中，Trustwave研究人员收集了超过60万个哈希密码。 在强大的GPU上运行哈希破解代码，他们在几分钟内破解了一半以上的密码。 测试持续了一个月，此时他们已经破解了90％以上的样品。

密码-您做错了

常识认为，包含大写字母，小写字母，数字和标点符号的密码很难破解。 事实并非完全如此。 是的，对于恶意分子来说， 猜测 N ^ a&$ 1nG之类的密码非常困难，但是根据Trustwave的说法，攻击者可能会在不到四天的时间内破解该密码。 相比之下，破解诸如GoodLuckGuessingThisPassword之类的冗长密码将需要近18年的处理时间。

许多IT部门要求使用至少八个字符的密码，其中包含大写字母，小写字母和数字。 该报告指出，可悲的是，“ Password1”符合这些要求。 并非巧合的是，Password1是正在研究的集合中最常见的单个密码。

TrustWave的研究人员还发现，用户将完全按照他们的要求去做，而不再做。 按长度分解密码收集，他们发现几乎一半是八个字符。

让他们长

我们之前已经说过，但是有必要重复一遍。 密码（或密码短语）越长，黑客破解密码的难度就越大。 输入喜欢的引号或句子，省略空格，您将获得一个不错的密码短语。

是的，还有其他类型的破解攻击。 字典攻击不是哈希每个单独的字符组合，而是哈希已知单词的组合，从而大大缩小了搜索范围。 但是，使用足够长的密码，暴力破解仍然需要几个世纪。

完整的报告可以通过多种方式对数据进行切片和切分。 例如，超过100, 000个已破解的密码由六个小写字母和两个数字组成，例如monkey12。 如果您管理密码策略，或者您只是想为自己制作更好的密码，那么绝对值得一读。