m*******n 发帖数: 5103 | 1 Conventional wisdom 告诉我们说:含有数字或符号的密码,是个强密码,比较安全,
比较不容易猜。
可是怎么我就不觉得?
You see,对于一个要猜我密码的人,没错,他必须考虑到我的密码里有数字或符号的
可能性,所以当他在猜我的密码时,他必须尝试密码或数字的各种排列组合,当然这大
大地增加了他的困难度。
也就是说,只要他以为我的密码里用了数字与符号,他就会比较难猜!至于我究竟有没
有用,doesn't matter!
所以,其实我们设计密码的时候,完全不需要加上数字与符号,它们帮不了忙,不能让
你更安全,只是让你更难输入罢了(尤其考虑到手机的输入法。)
对吗? |
s*s 发帖数: 176 | |
j********s 发帖数: 577 | 3 密码强度是从统计学角度定义的
//民科害人那。。。
【在 m*******n 的大作中提到】 : Conventional wisdom 告诉我们说:含有数字或符号的密码,是个强密码,比较安全, : 比较不容易猜。 : 可是怎么我就不觉得? : You see,对于一个要猜我密码的人,没错,他必须考虑到我的密码里有数字或符号的 : 可能性,所以当他在猜我的密码时,他必须尝试密码或数字的各种排列组合,当然这大 : 大地增加了他的困难度。 : 也就是说,只要他以为我的密码里用了数字与符号,他就会比较难猜!至于我究竟有没 : 有用,doesn't matter! : 所以,其实我们设计密码的时候,完全不需要加上数字与符号,它们帮不了忙,不能让 : 你更安全,只是让你更难输入罢了(尤其考虑到手机的输入法。)
|
f******r 发帖数: 385 | 4 不要太较真,陈马甲现在每天都要创造许多话题来吸引眼球,为他竞选下届版主热身,
至于内容是不是民科,他就不管了
【在 j********s 的大作中提到】 : 密码强度是从统计学角度定义的 : //民科害人那。。。
|
F******7 发帖数: 4765 | 5
真正破密码都是从简单的开始来。所以lesson叔的简单密码可能半个下午就落马了。人
家啥都带的还要等十年。
【在 m*******n 的大作中提到】 : Conventional wisdom 告诉我们说:含有数字或符号的密码,是个强密码,比较安全, : 比较不容易猜。 : 可是怎么我就不觉得? : You see,对于一个要猜我密码的人,没错,他必须考虑到我的密码里有数字或符号的 : 可能性,所以当他在猜我的密码时,他必须尝试密码或数字的各种排列组合,当然这大 : 大地增加了他的困难度。 : 也就是说,只要他以为我的密码里用了数字与符号,他就会比较难猜!至于我究竟有没 : 有用,doesn't matter! : 所以,其实我们设计密码的时候,完全不需要加上数字与符号,它们帮不了忙,不能让 : 你更安全,只是让你更难输入罢了(尤其考虑到手机的输入法。)
|
m*******n 发帖数: 5103 | 6 换个问法。有两个密码:ddzxytxwg, ddzxy$x43。对于想要猜我密码的人(如果他很正
确地假设现在的人都会使用有数字或符号的密码),他是不是都要用同样的方法、花同
样的时间,才能猜得出来?也就是说,这两个密码对我的保护是不是一样的?
但不同的是,前者比较容易输入。
(之所以会有此问题是最近把使用多年的弱密码改为强密码,但输入不方便,尤其在手
机上。于是想到,不管强弱,只要我不使用个人资讯,如生日车牌什么的,对于想猜我
密码的人一样难猜。何必辛苦自己去输入那些数字符号?) |
F******7 发帖数: 4765 | 7
如果假设正确,当然结论也正确。
但,假设不正确。Hacker的正确假设是多数人都像吉他叔这样。所以,在所有密码分布
的空间里,像吉他叔这样简单密码密度极大。
所以,还是半个下午就落马。
【在 m*******n 的大作中提到】 : 换个问法。有两个密码:ddzxytxwg, ddzxy$x43。对于想要猜我密码的人(如果他很正 : 确地假设现在的人都会使用有数字或符号的密码),他是不是都要用同样的方法、花同 : 样的时间,才能猜得出来?也就是说,这两个密码对我的保护是不是一样的? : 但不同的是,前者比较容易输入。 : (之所以会有此问题是最近把使用多年的弱密码改为强密码,但输入不方便,尤其在手 : 机上。于是想到,不管强弱,只要我不使用个人资讯,如生日车牌什么的,对于想猜我 : 密码的人一样难猜。何必辛苦自己去输入那些数字符号?)
|
m*******n 发帖数: 5103 | 8 这有点像是 safety by number 的情形。如果大家都使用强密码,我不管用强或弱,我
都比较安全。因为 hacker 知道大家都用强密码,所以他要尝试的空间比较大。
事实上,我认为我的假设是正确的:这么多年的密码教育下来(君不见许多网站强制要
求强密码?), hacker 必须假设大家都用强密码。所以,我的弱密码,一样安全可靠。
【在 F******7 的大作中提到】 : : 如果假设正确,当然结论也正确。 : 但,假设不正确。Hacker的正确假设是多数人都像吉他叔这样。所以,在所有密码分布 : 的空间里,像吉他叔这样简单密码密度极大。 : 所以,还是半个下午就落马。
|
F******7 发帖数: 4765 | 9
靠。
Hackers不会一下子就尝试大空间的。一般是从小的来,从字典里有的来。
貌似一样安全可靠的原因是,咱要保护的东西价值在hackers眼里还不够重要。
咱要是有两万伪币,肯定有人惦记。
【在 m*******n 的大作中提到】 : 这有点像是 safety by number 的情形。如果大家都使用强密码,我不管用强或弱,我 : 都比较安全。因为 hacker 知道大家都用强密码,所以他要尝试的空间比较大。 : 事实上,我认为我的假设是正确的:这么多年的密码教育下来(君不见许多网站强制要 : 求强密码?), hacker 必须假设大家都用强密码。所以,我的弱密码,一样安全可靠。
|
y*******d 发帖数: 1765 | 10 假设不完全正确
黑客也考虑性价比
26个字母6个字符长度
26^6
26个字母包括大小写6字符长度
52^6
26个字母包括大小写10个数字6个字符长度
62^6
对于有穷个已知账号
效率最高的是用一个有效subset(字典)跑所有的账号
这样可以抓到最多的low hanging fruit |
|
|
f*u 发帖数: 5576 | |
p****r 发帖数: 9164 | 12 我现在最大的烦恼是设了各种不同的密码,自己记不住。 |
m*******n 发帖数: 5103 | 13 只要人家不知道(你的密码是纯数字),纯数字密码与强密码一样安全 -- 我认为。
【在 f*u 的大作中提到】 : 纯数字最不安全吧
|
r*****x 发帖数: 6988 | 14 这叫条件概率
【在 m*******n 的大作中提到】 : 只要人家不知道(你的密码是纯数字),纯数字密码与强密码一样安全 -- 我认为。
|
g*****A 发帖数: 14950 | |
u*******m 发帖数: 3395 | 16 RE这个。
并且我特恨现在各种网站需要你输入什么秘密问题的秘密答案,并且每
个答案还不能都一样。比如:
你的宠物最喜欢的西雅图中文电台的主持人是:
你第一个小学老师的情妇的结婚前的姓:
你最近一次吃到的罚单的数额是:
天哪!!!类似这样的问题,我自己都不知道怎样回答,更不要说三个
月之后再登录的时候能不能想起这次是怎么搪塞过去的。以前还好,不
论什么问题,都用一个答案:F YOU。现在都不能用同一个答案了。所
以只好在小本本上记下来:1,F YOU; 2,F ME; 3, ... 大家评评
理,什么样的码工才会写出这么脑残的安全问题的诸多要求来?我的宠
物最喜欢的就是我小学老师的未婚情妇又怎么了?!
【在 p****r 的大作中提到】 : 我现在最大的烦恼是设了各种不同的密码,自己记不住。
|
c**c 发帖数: 386 | 17 没错 密钥空间的长度相同,密钥随机,无论是纯数字还是数字和字母密钥,安全性相同
【在 m*******n 的大作中提到】 : 换个问法。有两个密码:ddzxytxwg, ddzxy$x43。对于想要猜我密码的人(如果他很正 : 确地假设现在的人都会使用有数字或符号的密码),他是不是都要用同样的方法、花同 : 样的时间,才能猜得出来?也就是说,这两个密码对我的保护是不是一样的? : 但不同的是,前者比较容易输入。 : (之所以会有此问题是最近把使用多年的弱密码改为强密码,但输入不方便,尤其在手 : 机上。于是想到,不管强弱,只要我不使用个人资讯,如生日车牌什么的,对于想猜我 : 密码的人一样难猜。何必辛苦自己去输入那些数字符号?)
|