那么“这是我的密码”这个密码是安全的吗？

Question

我刚刚看了this xkcd的漫画，关于如何由于熵的原因，较长的密码比较短的密码更安全。

我的问题是，为什么不鼓励更多的人使用这样的密码？为什么密码要求通常是“至少8个字符”？当你在web应用程序中使用密码生成时，它通常会给你8-10个字母数字字符，并将其标记为“非常强”。为什么它不给你一个密码，比如“这个奶酪味道很好”？

或者攻击者经常使用字典攻击，这很容易泄露这样的密码？

难道我们不应该鼓励用户开始使用像“我的密码是M4nch3ster34!”这样的密码吗？或者“我不喜欢ch33sec4k3sss”，所以它有非字典的单词，但也有足够的长度来阻止蛮力？

Answer 1

然而，只有你能记住的句子可能是非常有效的密码(我认为这是你更广泛的观点)，而它们不被更常用的主要原因是，IMHO，纯粹的文化/历史，与8个字符限制，字符代码页和其他计算时代的遗物有关。

Answer 2

那得看情况。理论说这很容易找到，实践则相反。要找到这样的东西，需要一组自定义的规则来进行猜测。规则应该是:给定一组单词，将每个单词连接成一个4个单词的句子，在原始集合中需要多少次就连接多少次。

理论上说这很容易找到，但实践表明，除非他们对你有所了解，否则没有人会有这样的规则/将其放入john.conf (或任何其他词汇暴力工具配置)的上下文中。

我破解了许多工作密码，从来没有针对特定的用户，但总是试图获得任何有效的凭据来开始某些事情(DB，ssh，win，等等)。长度通常足以抵御这种威胁(有人随机地想要访问某些东西，并搜索任何好的密码)。

当涉及到个性化/有针对性的攻击时，人们可以更多地了解受害者并应用更精细的规则。看看CRUNCH，用它http://pentestlab.wordpress.com/2012/07/12/creating-wordlists-with-crunch/扩展词表太容易了，这就是人们在针对受害者时所做的事情。