短密码密码安全

Question

我知道长密码是个好密码。然而，一些网站需要短密码，例如，正好有8个字符长。

在这些限制下，创建和记忆(相对)安全密码的好方法是什么？

Answer 1

有八个字符，你是非常有限的。

我的建议-忘了记忆部分。

使用加密安全的伪随机数生成器生成一个八个字符串，使用字母(两种情况)、数字和符号。这将给您的密码52位熵，这是您可以达到的最大使用该方案。如果支持unicode字符，则可以选择使用unicode字符，因为可以实现更大的密钥空间。然而，输入这些密码可能是困难的，这取决于所使用的设备。这将使您能够实现安全密码所需的80位。

使用密码管理器为您记住密码-这可能是一个难忘的密码，但要确保这有足够的熵，以确保它的安全。这是实现密码可记忆性和安全性的最佳方法，因为您只需记住一个密码。

例如，LastPass生成器在这里。但是，确保您的浏览器支持Web，否则不幸的是这个返回当前时间作为种子，并使用标准PRNG.。你应该对任何现代流行的浏览器都没意见。

Answer 2

老实说，“短密码密码安全”是一种矛盾的说法。

总的来说，如果这是一个您必须使用的站点/服务，我只会让密码尽可能随意，可能依赖密码管理器应用程序来使用您无法轻松记住的随机密码，最重要的是使密码不同于其他任何地方使用的任何其他密码。

只要你的会话受到HTTPS的保护，阻止中间人在你使用密码时截取你的密码，那么你可能就可以在互联网上的网站上免受针对你密码的暴力攻击。特别是如果站点在短时间内检测到多次失败的登录尝试，并且阻碍(减慢)或阻止来自同一IP地址的进一步尝试。

但是，如果该站点的凭据数据库被盗，则没有任何8个字符的密码能够长期抵抗野蛮的武力攻击。

Answer 3

当web应用程序将密码限制在较短的长度时，用户几乎什么也控制不了。短密码的主要问题是你已经知道的:密码猜测和密码破解。

但你永远不会知道:也许是网站正在哈希你的密码(如何安全地破解密码？)，腌制它(如何储存盐？)，使用胡椒(辣椒的目的是什么？)，甚至是所有这些(密码哈希加盐+胡椒还是盐够了？)的组合。

作为用户，留给您的是：

1. 检查web应用程序是否运行在HTTPS上。
2. 检查web应用程序是否以明文存储密码(所有web应用程序都提供遗忘密码选项:执行它并检查是否收到了纯文本密码，如果是这样的话，您几乎可以确保它们以明文存储密码，除非使用反向解密，但这种情况在web应用程序中是相当罕见的)
3. 如果上述两点得到满足，并且您仍然喜欢该网站，并且您没有在其中发布关于您自己的私人信息，那么将特殊的字母数字以及小写和大写字符组合到您的密码中。