如果我输入两次密码(例如:PwdThingPwdThing),或输入每个字符两次(例如:PPwwddTThhiinngg),这将使它比现在的密码更加安全吗?

假设它已经是8或9个字符,由大写和小写字母,数字和一个或多个特殊字符组成。

(还假设我没有告诉我以这种方式这样做的任何人,尽管我只是告诉全世界... Doh!)

我问,因为我希望以一种我仍然可以记住的方式提供更多的安全性,这将是轻松进行更改和调用。谢谢。

评论

因为您的默默无闻的安全性已一去不复返了。我已经包括了这两种格式,并将它们添加到了字典中。谢谢!

如果破解算法不好,那么可以。

#1 楼

让我们尝试跳过理论,直接去实践。

将同一个单词键入两次(或N次)会大有帮助吗?




John the开膛手巨人对此有各种各样的“简单规则”


重复项:“ Fred”->“ FredFred”
f反映:“ Fred”->“ FredderF”



基于oclHashcat规则的攻击也为此具有简单的规则


pN将重复的单词附加N次p2 p @ ssW0rd p @ ssW0rdp @ ssW0rdp @ ssW0rd
反映f重复的单词反转了fp @ ssW0rd p @ ssW0rddr0Wss @ p


因此,不,这种聪明之处太普遍了,它已经明确地包含在已经可以单独使用或与其他规则结合使用的两个通用规则集中。

或键入两次每个字符



开膛手约翰(John the Ripper Jumbo)在文档中有专门针对此的示例


XNMI摘录内存中的子字符串NM并在I处插入当前单词是核心规则。
“ <4X011X113X215”(在短单词中复制每个字符)是文档中的示例,完全可以满足您使用短密码的情况







基于oclHashcat的攻击针对这些攻击具有简单的规则


q复制每个字符qp @ ssW0rd pp @@ ssssWW00rrdd
zN复制第一个字符N次z2 p @ ssW0rd ppp @ ssW0rd
ZN复制最后一个字符N次Z2 p @ ssW0rd p @ ssW0rddd
XNMI从保存到位置I的内存的单词的位置N开始插入长度为M的子字符串lMX428 p @ ssW0rd p @ ssw0rdw0


因此,不,这再次是在两种主要的开源破解产品中都明确提到了一些常见的聪明之处。

假定它已经是8或9个字符,由大写和小写字母,数字和一个或多个特殊字符组成。

这些产品中的其他规则很可能涵盖了您已经在做的所有事情,而且很可能已经将您所拥有的任何组合包含在应用于合理破解单词列表的规则集中。

oclHashcat单独包含25个充满.rules的文件,包括具有35,000多个规则的d3ad0ne.rule,具有120,000多个规则的dive.rule等。
数量众多可用的单词列表,其中一些可能包含您的确切密码-仅Openwall单词列表就有一个500MB的文件,其中包含超过4000万个单词,其中包括损坏的单词。
我个人都知道这两个很小的非常好的单词列表( phpbb等)以及庞大而全面的单词列表,其中包含数十亿个条目,总共占用了数GB的空间。

和其他所有人一样,您需要使用try随机性或类似整个句子的值不使用前5000种常见英语单词中的单词的个人轶事排序,并且确实使用了长而罕见的单词(以使用更大的字典来进行组合攻击)。

例如,专门查找Ubuntu疯狂的英语ispell词典列表中随机选择的(良好)单词例如,标准英语ispell词典中未包含的内容。

评论


@nocomprende对于某些人来说,这很有趣。对于大多数人来说,这是非常有利可图的。

–user7933
16年2月2日在23:01

#2 楼

Security.StackExchange充满了提出“自制”密码策略的问题。简短的答案始终是相同的:只要将您的密码与标准的字典攻击区分开即可,这很不错-只要


地球上很少有人使用您的策略。如果您的“自制”策略变得很普遍(例如用“ @”替换“ a”),那么它将被包含在标准字典攻击中,您将回到正题。
您”不再是个人目标。如果您有足够的高价值目标,攻击者专门试图破坏您的帐户,那么您使用的任何模式都是一种责任,因为一旦他们知道了您的模式(例如从以前的泄漏中泄露的密码中得知),他们便会建立字典根据您的模式。

infosec上这种类型的问题的另一个趋势是,有人不可避免地引用XKCD,所以去吧。请记住,计算机擅长搜索数据库并根据模式生成列表。通过使用诸如“使每个字母加倍”或“我喜欢的歌曲的合唱声的首字母”之类的简单策略,您正在使用一种易于计算机猜测的策略。提出简单密码策略的最佳实践始终是:否。使用类似LastPass的密码管理器为您生成并记住一个32个字符的随机密码。如果您坚持要记住一些东西,那么下一个最佳实践就是diceware。

如果您想违背所有最佳实践并发明自己的方案,那么我建议您选择基于情感而非基于模式的东西,或者可以从您的个人信息中挖掘的东西。例如,对于任何可以访问您的互联网活动的人来说,基于“我喜欢的网站”或“我正在观看的电视节目”的密码都很容易猜到,但是在“让我想起______的事物”中,您选择了一个非常不同的______每个密码可能很难猜到。 (如果我考虑这个方案的时间更长一点,我可能会争辩说,即使这样也很容易猜到,但问题是它仍然比纯粹基于模式的东西要好。)



评论


我同意密码管理器缺乏用户友好性。那里没有参数,但是它们确实有效,并且比设置密码如此复杂以至于您不记得它更安全。最终,我们需要完全放弃密码,而完全转向公用密钥/生物特征认证,但是世界还没有为此做好准备。同时,诸如密码管理器之类的事情以及将公众对密码的理解从密码更改为密码短语都是一个好的开始。

–麦克·恩斯沃思(Mike Ounsworth)
16年2月1日在18:35



谈到“我最喜欢的歌曲的合唱声的首字母”:有一个故事,有人在书架上打开一本随机书,选择一个随机页面,然后在该页面上使用一个随机句子作为比特币的大脑钱包密码,猜中了(他们失去了所有的比特币)。

–user253751
16年2月1日在21:16

@MikeOunsworth但是,如果有人嗅到您发送的数据,则无法更改手指的位,更不用说afaik,我们并不是真的从手指图像中计算出值,而是使用图像来检查存储在手指中的一些点。数据库以确保它们匹配(更不用说人们在进行一些运动后,或者在其他一些并非十分罕见的情况下,经常遇到指纹解锁问题)。我想这有点“不够成熟”,但是我发现您不可能解决他们的不变性。我可以想象指纹被用来解锁我的keepass数据库!

–毛里西
16年2月1日在21:27

@Maurycy继续XKCD主题... imgs.xkcd.com/comics/security.png

–头晕
16-2-2在19:41

@MikeOunsworth,您可能还想阅读“您的不可哈希指纹安全无用”。

–通配符
16-2-3在7:42

#3 楼

通常,不,将密码加倍不会显着提高(或降低)安全性。它加倍的是您的打字努力。如果密码加倍,如果您诱使您选择更短/更容易的基本密码,从而使您的键入工作不太麻烦,则可能会降低安全性。

广义上讲,密码安全性来自于其随机性,即如何攻击者不知道的很多。在“加倍”的情况下,这是一位信息(即是否应用),因此,从数学上讲,它是熵的额外一位。那不多。输入八个额外的字符以获得一点熵是微不足道的。这不是一个很好的讨价还价。

所有机智的把戏都有一个基本的问题:机智。他们依靠攻击者是愚蠢,无能或过时的。除了针对真正愚蠢,无能和过时的攻击者以外,这在实践中并不适用-神知道他们很多,但它们并不是大问题,因为他们不知道如何处理您的密码。您应该担心的攻击者是聪明的攻击者,他们可以在短时间内对您的数字资产造成实质性破坏。这些聪明的攻击者并不会被您的密码加倍技巧所吓倒。

考虑阅读这个著名的问题,以获得有关使密码“强”的原因的一些信息,尤其是该答案中的熵数学。

评论


除非至少有50%的人将其密码翻倍,否则它不止一个。

–user253751
16年2月1日在21:14

@immibis:啊,这很重要。做“大多数人不会做”的事情与做“攻击者不会先尝试,因为大多数人不做”是不一样的。声称通过密码加倍获得了不止一位的收益,这是在押注攻击者的冷漠或无能。不幸的是,这并不针对最危险的攻击者,这些攻击者本人在后面。

–汤姆韭菜
16年2月2日在15:30

而且,该领域是非常动态的。例如。如果大多数攻击者尝试按字母顺序输入密码,则用户开始使用“ zzz”开头密码。很快,攻击者就会适应并开始以相反的顺序进行枚举。或以随机顺序进行,以确保攻击者免受最坏情况的侵害。尝试根据平均攻击者的行为玩弄技巧往往会适得其反。当攻击者完全了解您如何生成密码时,便会保留熵的概念,因此,熵是密码安全性的唯一可靠基础。

–汤姆韭菜
16-2-2在15:32

我认为黑客正在努力工作。他们应该只尝试普通的工作,这容易得多!

–user82913
16年2月2日在17:32

我喜欢您的观点,大约需要八个字母才能获得1位安全性。与一些随机的英语8个字母的单词相比,它可能会增加10或12位的熵。

– corsiKa
16年2月2日在19:16

#4 楼

我的密码破解者已经尝试过将字母加倍,单词加倍,单词反转和加倍,单词大小写翻转和加倍...

...等等。

是的。加倍增加了一些难度:大约四位数,最高。与用字母替换的原始字典攻击相比,破解要花我十六倍的时间。

但是我最终还是得到了BAdpA55 !! 22AqbA8。

评论


那么,什么策略可以击败您的密码破解者呢?

–user82913
16年2月2日,在2:13

每个人都推荐的策略:长而真实的字符串。并尽可能同时使用密钥文件或其他类型的身份验证。我本人也喜欢密码管理器(我使用LastPass,但实际上并没有对其中的内容进行任何形式的审查,我只是使用了第一个有效的产品。我的许多朋友对其他各种产品都发誓)。但是令我担心的是,您只有一个故障点:一个密码可以保护所有其他密码。

– Dewi Morgan
16-2-2在3:28



这就是为什么我主张“真实”密码应该是包括您在内任何人都不知道的密码的原因。是你。您的狗会在500毫秒内知道冒名顶替者。那就是我们所需要的。而且,如果那只狗确实被骗了,发现它就会发疯。因此,我们需要计算机智能,具有完整的感官功能并且像大猩猩一样强大。等一下...

–user82913
16年2月2日在17:37

@no comprende:然后你喝醉了回到家,而你的狗却不认识你(因为你闻起来很有趣,说话很有趣,走路很有趣,并且表现得很幽默;就狗而言,你不是“你。顺便说一句,这种情况实际上经常发生在IRL中。它变得很生气。您到底训练那只狗对入侵者做了什么?哎呀。 (换句话说,您的方案建立在无效前提“永远不会发生假阴性”的基础上。)

– Piskvor离开了建筑物
16-2-4在13:35



#5 楼

人类是令人惊讶的可预测生物。我们的思维方式并不像我们希望的那样独特。您可能想到的任何使您的密码更安全的聪明方法,已经被很多其他人所想到,并且黑客充分意识到了所有这些聪明的技巧。

使密码正确安全的方法是使密码长而随机。从公式中消除人为失误。如果密码是如此复杂,您可能无法记住它,那么它可能足够安全。

密码管理器非常有用。它们使您可以使使用的每个密码唯一,并且每个密码完全随机。

您显然需要确保您的密码管理器数据库是安全的,并且不能远程访问。

评论


那么,答案是用另一个密码和更多软件保护密码和软件?我在纽约有两座桥要卖给你...

–user82913
16年2月2日在17:40

需要安全密码的服务可以远程访问。我的密码管理器程序不是。

–user1751825
16-2-2在23:39

#6 楼

有很多因素,但最终归结为您要防范的密码破解类型。在暴力破解的情况下,增加密码的长度将使其更难破解。假设他们的哈希值不算太糟糕,那么像样的8或9个字符的密码应该已经很难破解了。这意味着通过两次键入每个字符两次或两次键入相同的密码来将其加倍,实际上并没有多大作用。

一旦密码足够长,足以抵御暴力攻击,那么您就必须开始担心关于字典攻击,组合攻击以及类似的事情。您建议的任何一种方法都容易包含在基于规则的攻击中,而由此带来的其他安全性的任何价值都取决于它是否通常不被执行且未包含在其规则集中。

评论


这是一篇很好的文章,可以证明您的观点:链接。

–麦克·恩斯沃思(Mike Ounsworth)
16年2月1日在22:10

#7 楼

链接到zxcvbn密码熵演示。

根据zxcvbn,您的初始密码统计信息:

普通:PwdThing

 Guesses:
    100 / hour:     5 months    (throttled online attack)
    10  / second:   58 minutes  (unthrottled online attack)
    10k / second:   35 seconds  (offline attack, slow hash, many cores)
    10B / second:   less than a second  (offline attack, fast hash, many cores)


已加倍:PwdThingPwdThing

guess times:
100 / hour:     9 months    (throttled online attack)
10  / second:   2 hours (unthrottled online attack)
10k / second:   1 minute    (offline attack, slow hash, many cores)
10B / second:   less than a second  (offline attack, fast hash, many cores


字母已加倍:PPwwddTThhiinngg

guess times:
100 / hour:     centuries   (throttled online attack)
10  / second:   centuries   (unthrottled online attack)
10k / second:   centuries   (offline attack, slow hash, many cores)
10B / second:   12 days (offline attack, fast hash, many cores)


zxcvbn可能并不完美,但我觉得它为您提供了一个不错的密码强度估计。尝试使用它可以获得高评价的好记性密码。

我更喜欢使用句子作为密码。它们很长,并且天生就难以猜测且易于记忆。

EX:“星期一,我第二喜欢吃的水果是芒果!” (在允许的地方包括空格)。

如果您担心NSA暴力破解您的密码...我会使用其他人都在谈论的生成密码。

评论


尽管这是对不同选项的很好的比较,但它没有考虑已知的模式。如果已知模式,则“ PwdThing”和“ PPwwddTThhiinngg”之间没有区别。必需的元素是将密码模式与密码内容一起保密。

– schroeder♦
16年2月2日在22:22

显然,最好的解决方案是消灭攻击者。

–user82913
16年2月2日在22:33

#8 楼

有两点可以使密码更安全:长度和随机性。因此,您的问题的答案肯定是“是”,您正在提高密码的安全性。

但是,总的来说,您的初始密码不是超级安全,因为它使用在词典中可以找到的单词。而且,加倍只是破解算法也可以轻松完成的重复模式。因此,不仅要加倍您的密码,还要确保您加倍的不是真实的单词。

评论


是的,我确实在问题中说:“假设它已经是8或9个字符,由大写和小写字母,数字和一个或多个特殊字符组成。”我猜密码的偶数长度是我输入2x的最大奖励,对吧?我的意思是,很多人可能会这样做。所有密码的50%都是偶数长度...

–user82913
16年2月1日在23:56

是的,很抱歉,没有仔细阅读。但是,时间越长越好。我更喜欢密码> 12个字符(包括您提到的内容)。

–user98946
16年2月2日,下午3:03

“所有密码的50%都是长度...”请问您认为该百分比应该是多少?

– J Kimball
16年2月2日在13:38

@JKimball“所有员工缺勤的40%是在星期一和星期五!这是丑闻!” (摘自迪尔伯特漫画)

–user82913
16-2-2在17:38



#9 楼

为密码增加长度确实会大大提高密码的安全性,所以我认为两次输入密码或将每个字符加倍比不使用密码以及使用8个或9个字符的较短密码更好。请参阅此链接,以了解有关增加密码长度如何显着改善其安全性的更多信息:https://www.grc.com/haystack.htm

评论


我不买他们的基本前提。他们的前提是“一旦开始详尽的密码搜索,最重要的因素就是密码长度!”。这是不现实的:谁进行详尽搜索!现实世界中的密码破解者会执行字典列表,如果失败,则会对字典列表进行排列,如果失败,则会构造网络钓鱼(或鱼叉式网络钓鱼)电子邮件。作为反例,该站点认为“密码”由于其长度而比“ passw”强得多,尽管这是任何字典攻击都将尝试的第一件事。

–麦克·恩斯沃思(Mike Ounsworth)
16-2-1在20:41



#10 楼

密码的长度始终是密码安全性的关键因素,但也要尝试改善内容,将密码加倍可能有助于抵御HYDRA /字典攻击的习惯

#11 楼

@SethWhite-相信您给出了最准确的答案。

许多用户不了解用于破解密码的途径和方法。此外,还有其他安全措施,例如阻止未知的http / ftp调用者的端口。

Seth显示,至少有四种不同的途径可以很难破解密码。最简单的方法是进行网络钓鱼,在键盘下查看,在显示器上的便笺上查看是否有纸条等。

密码只是保护数据免受攻击的一部分。您的密码(关键字)用于生成随机的长二进制(机器代码)序列,该序列只能使用您的密码和对其进行编码的软件算法进行解码。因此,只要尝试猜测基础数据上的该二进制序列(HASH)(不使用登录页使用的解码器软件),就必须尝试从第一个字节开始随机进行,直到他们随机猜测所有字节为止。这就是Seth所显示的蛮力,您需要大量的时间和许多的内核来实现64,128,256,512字节的HASH长度。破解时间随时间成倍增长。 HASH的长度取决于密码的大小,因此更长的密码会更长,而HASH的暴力破解时间也会更长。

我相信Wikileaks花费了很多个月的时间来破解代码,但是大多数HASH可以被破解。我认为数据服务中心的黑客行为是字典攻击,黑客使用登录解码软件来猜测密码。因此,字典攻击通常可以某种方式访问​​您的数据,而不仅仅是数据。

例如,据我所知,节流的在线攻击是通过http连接进行的,可能受到黑客的支持cookie(网络服务器安装的通常很小的有用程序),以“字典攻击您的系统”。

结论:较长的随机密码(“ PPwwddTThhiinngg”计数)有助于极大地阻止这两种攻击。密码的长度和复杂度应反映出字典攻击的危险和对存储信息的敏感性。

P.S.我的家人讨厌我,因为我们的家庭无线网络受到128字节随机密钥短语的保护。