“iloveyou88”比“ilovekale”好猜解的多
本文讲的是 “iloveyou88”比“ilovekale”好猜解的多,对于安全专业人士来说,“iloveyou”这种口令,明显比“ilovekale”(我爱吃紫甘蓝)好猜许多。但根据卡耐基梅隆大学(CMU)主持,美国计算机学会发布的一项调查显示,非专业人士对强口令的组成部分知之甚少。
密码应该包含字母、数字、符号的老一套规则意味着,CMU网络实验室(CyLab)收到的回复中,认为“ieatkale88”和“iloveyou88”强度差不多的大有人在。
这部分人群还认为,“L0vemetal”比“Lovemetal”更难破解——虽然对自动化攻击而言二者没什么实际差别。
科学家们模拟攻击了上述2个口令,虽然在引入字典后两者都弱化了很多,“I love you”字符串也比“I eat kale”常见多了,后者比前者要多猜“40亿次”才能猜到。
调查验证方法特别简单:CyLab的研究人员请165位参与者在线评出精心组合的口令对的安全性排名,并对现有口令和常见口令创建策略的安全性及易记性作出评测。
在充分研究的基础上(看吧,数据泄露事件某种程度上是有好处的),他们确保了显示给用户的口令对中至少有1个来自于2009年RockYou数据泄露事件中那些易被猜出的口令。(编者注:2009年,RockYou网站3200多万用户信息遭黑客盗窃,RockYou最终被罚款25万美元)
说来奇怪,参与者对安全口令特征的看法,竟然与今天的口令破解工具的表现相一致;但在酝酿自己的口令时,他们却又不遵循自己明显知道的原则。
当然,普通路人也毫不清楚攻击者到底要猜多少次才能命中。因此,34%的人觉得能挺过50次猜解的就是安全口令了,67%认为猜5万次都猜不出的,那真是相当好的口令。
IT狂人们则注定会把结果弄成随机抽样似的:4%觉得挨过10的14次幂次猜解才刚能摸到够强壮的边。
既然如此,笔者建议,最好还是弄个口令管理工具,再用强口令产生器而不是用你自己的大脑来设计口令比较好哦。
原文发布时间为:五月 31, 2016
本文作者:nana
本文来自云栖社区合作伙伴安全牛,了解相关信息可以关注安全牛。
原文链接:http://www.aqniu.com/learn/16415.html
“iloveyou88”比“ilovekale”好猜解的多相关推荐
- 我猜后台管理路径猜解
我猜后台管理路径猜解 转载于:https://blog.51cto.com/obnus/485917
- 遭遇一次MySQL猜解注入攻击
遭遇一次MySQL猜解注入攻击 前些日子数据库被入侵,文章的阅读数都被纂改了,还好及时发现并做好备份.查一下 MySQL 语句记录,发现这么原来是这么一句 SQL 在捣鬼: 1 UPDATE tabl ...
- python sql注入脚本_python辅助sql手工注入猜解数据库案例分析
发现存在sql注入漏洞 简单一点可以直接用sqlmap工具暴库 但是如果想深入理解sql注入的原理,可以尝试手工注入,配合python脚本实现手工猜解数据库 首先hachbar开启 获取cms登录后的 ...
- mysql路径猜解_猜解数据库(MYSQL)信息
1 importrequests2 3 ################################################################# 4 #http://43.2 ...
- 猜解小米5.99元蓝牙Mesh模组
源文链接: https://mp.weixin.qq.com/s?__biz=MzI3NDE2NDMwNQ==&tempkey=MTAzNl90Z1RhQkZSQ2JxS3dybTFOZDR ...
- 暴力破解与验证码安全——BS架构暴力猜解
BS架构暴力猜解 浏览器与客户端之间的破解,一般有一个web页面,针对web站点暴破 一般是对 web 应用程序中的高权限用户进行猜解,如网站的内容管理系统账户.一般针对 B/S 的暴力猜解,我们使用 ...
- ssh被暴力猜解登录密码,利用pandas简单分析ssh登录失败记录
本人为了学习和使用VPS因此手中长期配置一到两台VPS,没想到这点苍蝇肉也成了黑客眼里的肥肉. 近来一个月发现被人正在暴力猜解ssh登录密码,心想,这准是有人想要拿shell想要把这点苍蝇肉都想占为己 ...
- Hackthebox-Bart(考点:信息搜集/密码猜解/user-agent注入/window账号利用)
1. nmap搞起 2.信息搜集&密码猜解 显示forum.bart.htb,把bart和forum.bart都加到/etc/host 里去: 10.10.10.81 forum.bart.h ...
- SQL注入--表的猜解
步骤 表名->列名->列长度->具体值 例如:注入点 http://www.XX.com/index.asp?id=1 猜解表名:http://www.XX.com/index.as ...
最新文章
- iOS已发布应用中对异常信息捕获和处理
- 毕业后的五年拉开大家差距的原因在哪里
- IT人士还是要善待自己
- 处理机调度实验c语言,操作系统实验处理机调度C语言实现
- 有线节点与无线节点的混合仿真模拟实验
- LVS(13)——DR模型准备工作及ip地址冲突问题
- input发送a.jax_与时俱进:在JAX-RS API中采用OpenAPI v3.0.0
- http 与https 区别浅析
- dax圣经 翻新_使用翻新和Node JS的Android图像上传
- Hive去重最佳方法
- Android用户界面 UI组件--AdapterView及其子类(一) ListView及各种Adapter详解
- 负载均衡与服务器架构
- OpenCV在图片和视频中的人脸检测
- 数据分析第二章课后习题解答
- 欧几里得算法证明,最小公倍数求法证明
- 银行卡卡号基于Luhn算法的格式校验
- 485集线器 4口485集线器 4口485 HUB
- 头条视频中视频玩法技巧
- 直播平台开发过程中关于谷歌fcm推送介绍
- Python学习之路5☞文件处理