|
突然想到的问题,如果我们在网站上设置的密码不是英文字母和数字,而是6~10个汉字,那么安全性会怎么样呢?
从不安全的一方面,这些汉字很有可能是使用者的口头禅之类的,日常生活中会不经意的说出来;但从安全的一方面讲,完全可以替换一两个汉字,或者同音字更换偏旁之类的,再或者直接就弄一些毫无联系的汉字组合。这样,如果使用暴力破解密码,搜索汉字字库所需要的时间比搜索英文字母所需要的时间要长得多。
那我们就来分析一下吧: 1、如果数据采取了加密算法,在没有对你正常解密输入密码的过程进行攻击的时候,数据的安全性取决于算法的安全性和密码的安全性。 由于算法的安全性对是否是有汉字密码都是一样的,考虑密码的安全性。 密码的暴力破解,经常使用字典破解、生成密码破解等。汉字不在字典中,一般也不在生成密码的范畴内——大部分现成的工具都只有特殊字符、大小写字母、符号的密码生成。 但要是你使用同一个密码,被泄露了(例如网站泄露),于是就悲剧了。
2、如果只是用来鉴权 分析过程和上面的一致,在网络上可能需要考虑旁路窃听攻击等,但这些在普通密码和汉字密码来说是一样的。 =========================== 另外部分反对上头有人提到的拷贝-粘贴会使得其不安全的说法。对windows剪贴板的攻击取决于用户可以访问机器,但可以访问机器的话,植入木马或键盘记录器可以直接拿到密码,而中文的混淆甚至使得键盘记录器实行的攻击比拿英文密码要难。 当然,要使用输入法,后头有人可能偷窥你,这个比较好办,直接要求他们回避就好了。 ============================== 弱点: 1、不是所有系统都支持这种密码,比如各种网站,有可能只允许输入英文和数值,可能特殊符号都不允许输入 2、若使用相同密码,依然有泄露危险 3、汉字是有编码格式这个问题的。gbk和utf8的汉字是不一样的……这可能在实际应用中带来你明明记得密码就是这个,但怎么都不对的问题(手动狗头)
大家可能会注意到在注册某些应用的时候都会让你选择密保问题,例如你的父亲名字是?,你的初恋名字是?这个会作为你的修改密码或者找回密码身份验证,但是不会作为登录密码。 小伙伴们你们怎么看呢?欢迎下方留言讨论! |
|
|
