如何使弱密码更强？

Question

我用PBKDF2存储我们客户的密码，我想让这些弱密码更加强大(我不想限制用户使用一些非常特定的密码长度或特殊字符等等)。

我的想法如下：

1. 使用用户(弱)密码
2. 生成定义大小的随机字符串("salt") (cca 20个字符)，对其进行加密(我们使用Amazon )并与其他用户数据一起保存。
3. 将弱密码与这个随机字符串(note1)结合起来--最终长度将是随机生成的盐类的大小。
4. 使用PBKDF2从“更强”的密码字符串生成哈希

这个过程应该使密码更安全/更强吗？

note1)如何生成这个更强的密码--“密码”应该是原始密码和随机生成的字符串的某种组合。一些想法？这种算法必须是确定性的。

Answer 1

使密码更强的唯一方法是不允许弱密码。密码薄弱的原因是攻击者可以猜到密码，而不是因为您如何存储密码。

我发现http://www.passwordresearch.com是关于密码的学术研究的一个很好的资源。您可能会对为强度和可用性设计密码策略感兴趣，它探讨了使密码难以猜测的策略的有效性，以及它们的容易记住程度。

Answer 2

如果我注册您的服务并使用密码“密码”，您所做的所有工作就是执行大量的工作哈希、盐、重散、重传和攻击相同的密码。然后将其存储在数据库中。

您想要“添加”的所有数据都必须存储在某个地方，如果数据被存储，则可以检索。

我认为您的建议对执行标准的散列和盐渍过程没有好处。

因为最终我的密码仍然是“密码”..。

Answer 3

这个过程应该使密码更安全/更强吗？

不是

使密码更强的唯一方法是增加密码的长度。复杂性有一点帮助，但是当你使密码变得更长时，密码熵要比你“要求”更多的字符成为用户时要大得多。例如:增加5个字符到字母表会增加密码与Alphabet+5^n字符的复杂性。在增加字符数量的同时，增加了Alphabet^n+5字符的复杂性。最后一种比第一种更多。