密码是否要强制字母与数字的混合?

王志勇 发表于 2007年11月01日 11:58

其实不需要。有的网站密码,强制使用字母与数字的混合,目的是提高安全性,防止密码被破解。可是,这种强制方式似乎并没有起到多少作用。可以做一下对比,强制字母与数字混合,如果密码中不含特殊字符(如~!@#$%),26个英文字母(如果服务器程序设定为区分大小写,则为52个),加上10个数字,以6位以内的密码为例,破解一个字母与数字混合需要的次数是:1、当区分大小写时,626+625+624+623+622+62=57731386986,约577.31亿次;2、不区分大小写时,366+365+364+363+362+36=2238976116,约22.39亿次;3、纯字母,区分大小写时,526+525+524+523+522+52=20158268676,约201.58亿次;4、纯字母,不区分大小写时,266+265+264+263+262+26=321272406,约3.21亿次。破解一个使用纯数字的密码需要的次数:106+105+104+103+102+10=111110,约11.11万次。

由上述的数据可以看出,使用6位以内的纯数字,约有11.11万种组合,使用6位以内的字母与数字混合,约有577.31亿种组合(程序区分大小写)和22.39亿种组合(程序不区分大小写),使用6位以内的纯字母,约有201.58亿种组合(程序区分大小写)和3.21亿种组合(程序不区分大小写)。

这些数字虽然差别很大,但是在实际使用中,6位以内的纯数字的11.11万种机率的安全性,已经是很高了。而577.31亿种组合与201.58亿种组合,实际应用中差别并不大,因为当服务器在短时间内收到太多的请求,就像是遭受到了攻击,服务器应该尽快采取措施来避开攻击;同时,服务器程序可以使用多种方式来避开密码破解程序。Google对帐号的密码安全级别自动评定程序,参考价值就少了很多,也许只是起到提醒用户选用更加难猜的密码。

因此,强制字母与数字的混合只是提高安全性其中的一种方式,但它不是绝对有效的。因为原有的安全机率已经很高了,在盗号木马面前,所有的密码安全级别都一样。在用户体验方面,因为我很少使用数字与字母混合,在遇到强制字母与数字的混合的网站,下次再登录时,容易忘记密码。

4条评论:
1   蓝风 2007-11-01 16:58
我一直比较反感这种强制,先不要说安全,从用户出发,一个人习惯一个密码以后,一般都会大部分使用这个密码,在“强制”下的结果往往会导致“忘记密码”。
2   自由勇 2007-11-01 20:20
是啊,前天刚注册的delicious帐号,今天登录的时候就是想不起来密码,因为delicious使用了这种强制。
3   天边 2007-11-01 21:56
好佩服你的思维是那么的宽广,这些东西原本以为字母加数字看起来安全系数是比较大的,谁也没去细想它到底怎么运算出来的,只有你敢去怀疑它分析它而且将貌似很深奥的东西说得通俗易懂,在此很感谢你,自由泳.
4   自由勇 2007-11-02 13:02
谢谢支持:)

发表评论:
名字: (*必填)
博客: (可省)

正文:

  记住信息?

直接发送Trackback到此文章

说明:本评论系统不支持HTML代码。(您的留言需要审核,审核规则请见这里。)

王志勇:1980-09-26 (38周岁)
程序设计,前端设计。

版权声明:本博客所有文章,均符合原创的定义,禁止转载,违者将必究;正确的方法是贴原文的标题和网址即可。

与此相关的链接
自由勇专栏

Blog存档 Archives

2018年12月
2018年11月(30)
2018年10月(30)
2018年09月(17)
2016年-2017年(9)
2014年06月-09月(10)
2013年 +

2012年 +
2011年 +
2010年 +
2009年 +
2008年 +
2007年 +
2006年 +
2005年09月(4)

Copyright © 2006-2018 auiou.com All rights reserved.
此Blog程序由王志勇编写 已经发布在Arsue