MQTT要求短的用户名和短密码不能提供足够的熵
在现代世界中。
MQTT规范的第3.1.3.5节说,密码最多可以包含65535字节的二进制数据。快速计算表明,这会产生可笑的数字:
如果要进行大规模计算,如果您每秒可以尝试使用100万亿个密码,则大约需要花费大约一万亿个1 x 1014百万年用尽了1到65535字节之间的任何密码的搜索空间。但是现在已经解除了。
为什么该白皮书的作者会说MQTT的密码没有足够的熵,现在仍然如此,还是我的计算正确吗?
为什么本白皮书说MQTT用户名/密码“没有提供足够的熵”?
这份比较MQTT和AMQP的白皮书说,MQTT的用户名/密码限制使其安全性远低于AMQP:
MQTT要求短的用户名和短密码不能提供足够的熵
在现代世界中。
MQTT规范的第3.1.3.5节说,密码最多可以包含65535字节的二进制数据。快速计算表明,这会产生可笑的数字:
如果要进行大规模计算,如果您每秒可以尝试使用100万亿个密码,则大约需要花费大约一万亿个1 x 1014百万年用尽了1到65535字节之间的任何密码的搜索空间。但是现在已经解除了。
为什么该白皮书的作者会说MQTT的密码没有足够的熵,现在仍然如此,还是我的计算正确吗?
MQTT要求短的用户名和短密码不能提供足够的熵
在现代世界中。
MQTT规范的第3.1.3.5节说,密码最多可以包含65535字节的二进制数据。快速计算表明,这会产生可笑的数字:
如果要进行大规模计算,如果您每秒可以尝试使用100万亿个密码,则大约需要花费大约一万亿个1 x 1014百万年用尽了1到65535字节之间的任何密码的搜索空间。但是现在已经解除了。
为什么该白皮书的作者会说MQTT的密码没有足够的熵,现在仍然如此,还是我的计算正确吗?
评论
可能需要指出的是,该论文的作者似乎不仅对MQTT进行了错误描述,而且声称自己“要求”当前版本所不需要的东西,而且还以自己为竞争产品的“首席架构师”身份签名。 >看来该纸是很旧的,不是最新的。值得注意的是,作者是MQTT 3.1.1的MQTT TC联合主席。最近几年情况可能发生了变化。在3.1.1之前的MQTT版本中,建议使用较小的密码长度,但如今并非如此。
这是“建议”作为“要求”的错误描述,它看起来不合适。