我知道用字典中的单词作为密码是不安全的。我相信这甚至适用于password123或形式的密码p@ssw0rd。如果密码的某些子字符串是字典中的单词,这是否适用?例如,fghpassword123显然不在字典中,但子字符串password在。
我对密码安全性了解不多,但我相信熵非常重要。不过,我不知道这样的模式是否会抵消密码熵带来的额外好处。
答案1
根据我作为渗透测试人员的个人经验,除非我专门针对你的帐户,否则我在暴力破解用户帐户列表时通常使用的字典通常涵盖常用字典单词列表、常见的 1337 样式数字替换(例如 3 代表 E)和一些常用短语。
黑客和安全组织实际上会对实际密码(例如数据泄露所泄露的密码)进行统计分析,并使用结果将新密码添加到要使用的密码列表中。
如果我专门针对您的帐户,那么我会使用更复杂的密码生成器选项,例如简单词典、复合词典(将词典中的 2 个或更多单词放在一起)、1337 替换或其他常见技巧,例如我会让每个密码在末尾都加上一个 !,因为这是放置特殊字符的最常见位置,而这是最常见的特殊字符。
我认为字典单词作为子字符串的问题比更常见的密码弱点要小。您可以采取以下三项措施来提高密码的安全性:
- 混合多种字符类(大写、小写、数字、特殊字符)
- 长度!!(最少 9 个字符)
- 不要在不安全的网站上使用安全密码(这样,wellsfargo != sony :-) )
答案2
这完全取决于黑客使用的字典破解器类型。将单词编码为子字符串并不太难,但这种做法并不普遍。
不要这样做,但换句话说,这并不是世界的末日。