密码多长最完美?你问错了问题

什么长度的密码最安全?你问错了问题

在黑暗中带着粉色光晕的笔记本电脑

长度更长的密码更安全。这很常识,对吧?增加密码的长度意味着有更多的组合可用。这就意味着暴力攻击,也就是有人使用自动化系统尝试每种组合,以便破解代码,将需要更长的时间。

还有: 最好的密码管理器

安全专家普遍认为,密码需要至少八个字符才能被破解,借助于诸如游戏PC中的GPU之类的设备就可以轻松实现。例如,使用一款 Nvidia RTX 4090, Hive Systems 计算出使用大小写字母、数字和符号的每种 8 个字符组合,仅需不到一小时的时间。这比两年前的主流图形卡要快两倍,再次证明了摩尔定律的作用。

那么,如果八个字符太短,那么多长才够呢?有魔法数字吗?通过对各种来源的发布的建议进行综合审查,我发现安全专家们对确切的长度并不一致。但是他们达成了广泛共识:至少需要 12 个字符,但是越长越好。也许由四个或更多随机单词组成的密码短语才是最好的。

还有: 什么是Passkeys?体验去无密码化的生活带来的魔力

我们调查的每位专家都同意,增加密码的长度比增加复杂性要重要得多,例如强制使用数字、字母和符号。但更重要的是确保密码是真正的随机。将所有这些相加,你就得到了称为“熵”的度量,它衡量了猜测密码的难度。

一个能够进行合理猜测的攻击者很可能很快就能够破解基于你狗的名字和你出生年份的低熵密码;而由密码管理器分配的真正随机密码则更具挑战性。

但是应该多长呢?

在 Infosec Institute 网站的一篇文章中,Daniel Brecht 在名为 “密码安全:复杂性 vs. 长度” 的文章中阐述了 12 个字符作为起点的理由:

较短的密码比较容易破解,因此创造更长的密码可以增加安全性并使其更不可预测。那么所需的长度是多少呢? 2010 年佐治亚理工学院 (Georgia Tech Research Institute, GTRI) 的一项研究描述了一个 12 个字符的随机密码如何满足最小长度要求,以防止代码破解和破解软件的攻击,GTRI 的一名研究科学家 Joshua Davis 表示。GTRI 的高级研究员 Richard Boyd 表示:”八个字符的密码现在是不够的……而且如果你限制你的字符只使用字母,它可以在几分钟内破解。” 无论如何,为了安全起见,应采用 12 个字符或更长的密码。

一些热门密码管理器的开发人员也基本上达成了同样的结论。例如,在 Bitwarden Blog 上,答案是权威的,并以一个实际的感叹号作为标点:“将您的密码设定为 14 到 16 个字符或更多!”

这不仅仅是随机的建议。Bitwarden 的建议是源自于美国国家标准与技术研究所 (NIST) 的一份出版物,名为 “NIST SP 800-63B – 数字身份指南”,其中指出:”如果用户愿意,应鼓励他们将密码的长度设置得足够长,因为散列密码的大小不依赖于其长度,如果用户希望,就没有理由不允许使用较长的密码(或密码短语)”。

另外:最佳VPN服务:专家测试与评价

同时,竞争对手1Password在他们的博客文章中有类似的观点,自信地断言说:“这是您的密码应该有多长:“1Password的默认生成密码长度为19或20个字符,取决于版本。但其实这是过度的!当密码被正确生成时,11-15个字符对于普通用户来说提供的保护已经足够了。

NordPass团队则通过数学方法解决这个问题,得出结论:“理想情况下,[安全密码]至少应该由12个字符组成……如果您真的希望为未来做好准备,16个字符可能是您能依赖的最佳和最现实的长度,但更长的长度更好。”

事实上,这个广泛的共识已经传达到Windows系统中,在一篇名为“创建和使用强密码”的微软支持文章中,包括了以下基本密码建议:

  • 至少12个字符长,但14个或更多个字符更好。
  • 包括大写字母、小写字母、数字和符号的组合。
  • 不使用可以在字典中找到的单词,也不使用人名、角色名、产品名或组织名。
  • 与您以前使用的密码明显不同。

注重隐私的Proton团队(Proton Mail的制造商)认为,由密码管理器随机生成的15个字符的密码应该“超出了现代计算能力的范围”。

另外:Windows安全性:如何保护您的家庭和小型企业电脑

或者也许您根本不应该使用密码,他们得出结论:“如果您想使用一系列单词(即“密码短语”)创建一个强密码,大多数信息安全公司推荐使用至少四个不是很常见的单词。然而,随着更多人开始使用密码短语,黑客将变得更擅长破解它们。

也许您不应该担心密码有多少个字母。也许真正的问题是你的密码短语中有多少个单词。只是不要使用“正确马电池订书钉”。那个已经被占用了。