本文目录
什么是密码强度?
密码强度衡量的是密码抵抗猜测或破解的能力。它综合考虑密码长度、字符种类的丰富程度、模式的可预测性,以及密码是否出现在已知的数据泄露库中。强密码指的是攻击者以当前的算力也需要耗费极不合理的时间才能破解的密码。
最常见的密码安全隐患包括:使用过短的密码、使用词典单词、使用个人信息、使用像 qwerty 或 12345 这样的键盘规律,以及在多个服务中重复使用同一密码。
如何衡量密码强度
CheckTown 的密码检测器会从多个维度进行评估,给出全面的强度评价。
- 长度评分——密码越长,其熵值的增长呈指数级上升;建议使用 16 位及以上的密码
- 字符多样性——使用小写字母、大写字母、数字和特殊字符均可加分
- 模式检测——对键盘连续按键、重复字符和词典单词进行扣分
免费试用 —— 无需注册
检测密码强度 →何时使用密码强度检测
凡是涉及用户创建密码的系统,都应集成密码强度检测。
- 用户注册——在用户输入时实时反馈密码强度,鼓励设置更强的密码
- 密码重置流程——对新密码强制实施最低强度要求,防止立即重新使用弱密码
- 安全审计——根据强度标准检查已存储的密码哈希,识别出需要强制重置的账户
常见问题
究竟是什么让密码真正变强?
最重要的因素是长度——每增加一个字符,都会成倍地增加可能组合的数量。一个随机生成的、包含多种字符类型的 20 位密码,其强度呈指数级地高于一个便于记忆的 8 位密码。使用密码管理器来生成和保存随机密码是最佳做法。
我是否应该强制执行诸如必须包含大写字母和特殊字符之类的复杂度规则?
现代的安全指南(NIST SP 800-63B)建议弃用僵化的复杂度规则,转而侧重长度要求。复杂度规则往往会促使用户采用可预测的替换方式(例如 p@ssw0rd),这类密码反而很容易被破解。应把重点放在最低长度要求、泄露库比对以及屏蔽常见密码上。
什么是熵?它与密码强度有何关系?
密码熵以比特为单位衡量密码的不可预测性。一个具有 64 比特熵的密码有 2^64 种可能组合。每增加一个比特,攻击者需要搜索的空间就翻一倍。长度对熵的贡献最大;一个由 4 个单词组成的密码短语,其熵值可以超过一个复杂的 8 位密码。