心理密码学(？)对普通用户有用吗？

Question

我最近从这篇文章中读到了关于“精神密码学”或“金属哈希”过程的文章：精神密码学和好密码 (通过这个留言板http://www.codeproject.com/Lounge.aspx?msg=4911235#xx4911235xx)。

我想，这个方案的要点是:不要使用同一个密码多个登录。

为此，曼努埃尔·布鲁姆教授提出了一种哈希公式，人们可以在他们的大脑中运行(而不是我)。

如果我采纳这个建议并设计出我自己的散列公式的简化版本，它总是生成4位数和4条固定字符串(例如:2112美元Pwd)，我会更安全吗？

换句话说，哪个更重要？

• 每次登录的唯一密码
• 永远不要使用简单的密码(例如:用户名加一位数)

Answer 1

你列出的两种防御措施是为了抵御两种不同的攻击。

每次登录的唯一密码

这是为了防止其他人的密码数据库泄漏。即使攻击者计算出您的密码，它也是无用的，因为它只允许访问泄漏发生的单个网站(您可能在攻击者获得密码时更改了该网站)。

永远不要使用简单的密码(例如:用户名加一位数)

这可以防止任何密码数据库泄漏。如果密码数据库泄漏(密码被正确散列)，那么攻击者将更难(而且可能不可能，这取决于密码的熵)实际逆转哈希并获取密码。

这可能会让你相信，一个强大的密码是最重要的防御这两个。但是，您不能保证网站正确地散列密码。例如，在最近发生的大规模Adobe漏洞中，密码没有被盐碱化。这意味着攻击者可以非常快地逆转大量哈希。

因此您可以看到，您的密码可能以纯文本形式泄漏，或以可逆的加密形式泄漏；这样，即使密码很强，攻击者也很容易知道您的密码。在这种情况下，您唯一的辩护是确保您有一个唯一的密码为每个网站。

最后，这是你的选择，但这两个防御都不能被认为是安全的。我的建议是使用密码管理器，为每个网站获得强大和唯一的密码。