img

奇点

我只是计算了我使用的需要密码的系统并在40时放弃我知道我并不孤单;对于我们中的许多人来说,似乎我们有太多的密码需要管理但是,他们需要访问我们与工作,娱乐和日常生活互动的大多数系统

也许这是因为它们无处不在我们接受它们理所当然没有真正理解他们如何工作密码是一个使用你知道的东西证明你的身份的例子在安全圈中,人们经常说我们证明我们的身份分为三类:精心设计的密码系统永远不会直接存储密码什么是存储而不是哈希函数的输出告诉你它的输入非常少,所以很难反转它需要大大多的计算来反转哈希值而不是计算它当密码被输入系统时,哈希值计算密码和任何盐值并与存储值进行比较如果匹配则用户知道密码并且假定身份被证明“假定为证明d“是一个重点因为我们有这么多的密码,人们倾向于重复使用它们或选择容易记住的密码但不幸的是,很容易猜到,因此,密码本身往往被认为是不充分的身份证明当然我们从ATM获取现金或通过EFTPOS支付货物密码(PIN)不足以证明或身份在这种情况下还需要第二种形式的身份证明(银行卡)当然,PIN不是特别好的密码,如此短暂并限制在数字0到9之间,但一般来说,只要需要相当强的身份证明级别,密码就会被认为是不足的原因之一密码不像以前那样受信任的原因之一就是彩虹表互联网,它是预先计算的表,可以使密码的哈希值被反转例如,彩虹表用于字典攻击,其中真实的单词在词典中找到ary用于密码彩虹表也存在密码全部小写且少于8个字符长通常不理解为什么破解任何密码是一个严重的问题如果办公室足球小费竞争的密码被泄露有什么问题

不幸的是,由于人们使用密码的方式,这很重要因为我们大多数人都有很多密码;太多而无法记住因此,我们倾向于重复使用它们用于低风险系统的密码,例如办公室小脚小费竞争,通常会在高风险系统中重复使用,例如网上银行,电子邮件系统等这样,妥协一个低风险系统可能会危及更高风险的系统因此,对不同的系统使用不同的密码非常重要

或者,如果这太难了,至少要使用高风险系统的唯一密码这会让我们受益关于系统是否应该强制定期更改密码的问题一如既往地在安全系统设计中答案是“它取决于”在某些情况下,受保护信息的重要性使得它保证定期更改密码但通常强制定期更改密码是适得其反我们有这么多的密码,并且强迫我们定期更改它们可能会导致我们选择容易记住的密码而且容易破解密码一个好的密码应该很容易记住,但其他人几乎不可能猜到它应该包括来自大字符集的字符(例如大写和小写,数字和非数字字符)或者很长一些方法是要制作的使用只有你可能知道的信息,例如几十年前的女朋友或男朋友的电话号码,你在高中时所居住的街道,或类似的东西当然,在社交媒体的这些日子里,例如信息并不总是像以前一样不可知您可能会混合多种此类信息来源,并且只有您知道的方式包含一些非数字字符,并且可能包含网站的名称另一个建议是选择密码的长随机序列和将它们写在您存放在钱包中的列表中,或者使用密码管理器,例如现在大多数手机上的应用程序可用的密码管理器 这样的建议是有争议的(特别是写下密码),但反驳的是我们大多数人都非常善于保护我们的钱包,而基于彩虹表的破解密码的系统非常复杂,除了随机序列以外的任何东西都容易受到字典的影响这个建议确实提出了一个问题:如果你丢失手机或钱包,或忘记了密码管理器应用程序的密码会怎样

不是当然,如​​果被保护的系统需要它,那么有一些替代方案,例如安全令牌系统,视网膜和虹膜扫描,指纹系统和面部识别,仅举几例但是没有什么比密码更便宜和更好理解了

所以保持你的记忆力 - 密码可能还有一段时间

News