Tesco在線雜貨店在英國的用戶帳戶需要密碼在6到10個字符之間。雖然它讓我感到有些激動,他們已將密碼限制爲10個字符(我的密碼生成器默認爲32),但他們允許使用6個字符的密碼來保護包括信用卡信息在內的用戶數據這一事實令我擔憂。最小用戶密碼長度
6個字符的密碼是否代表安全風險,或者它們是一個很好的示例?
Tesco在線雜貨店在英國的用戶帳戶需要密碼在6到10個字符之間。雖然它讓我感到有些激動,他們已將密碼限制爲10個字符(我的密碼生成器默認爲32),但他們允許使用6個字符的密碼來保護包括信用卡信息在內的用戶數據這一事實令我擔憂。最小用戶密碼長度
6個字符的密碼是否代表安全風險,或者它們是一個很好的示例?
6個字符的密碼很短,可能太短。此外,最大密碼大小沒有意義,因爲您應該只存儲散列(或更好地輸出bcrypt,scrypt或PBKDF2)。
這就是說,它取決於系統如何處理密碼,如果它是安全的或不安全。例如。 PIN通常約爲4..6,數字。它仍然非常安全,因爲您的銀行在PIN被阻止之前可能只允許您輸入3到5個不正確的PIN碼。
如果你想用你的密碼作爲密鑰來沒有一個系統的數據進行加密來控制訪問所述數據(加密文件上可以竊取硬盤),然後6個字符是多短。您將需要一個完整的密碼和密鑰導出方案,以確保加密容器的安全。
這取決於允許哪些字符。
無論如何,六字符密碼不夠安全。如果密碼包含大寫字母,小寫字母,數字和符號然後網絡攻擊可能會採取23年,並會有通過其他方法的密碼是訪問更多的機會http://daleswanson.org/things/password.htm
安全是可用性和安全性之間進行權衡。人們應該能夠記住他們的密碼,但它也應該是安全的。許多公司正在採取簡單的方法並允許使用簡短密碼,因爲用戶應該選擇安全密碼的責任。我不認爲,普通用戶可以處理這個問題。我們的工作是讓他們知道什麼是好密碼。
我認爲10個字符的限制表示與6個字符限制相同的風險。我的密碼(不是隨機生成的)大約有12-16個字符。因此,在你的情況下,即使我有一個密碼,我也不允許使用一個好的密碼。該政策違反了我們的使人們認識密碼的使命。
關於長度本身:我認爲如果不可能進行暴力攻擊,6字符密碼可能符合安全要求。 (將分佈式系統視爲破解密碼的非常強大的方法)。
Wikipedia article似乎有一些關於此事的深度。
您可能會在http://security.stackexchange.com/上獲得更好的答案。 – 2012-08-08 14:42:19
有趣的你應該提到特易購;有一篇關於他們使用密碼做什麼的有趣文章:http://www.troyhunt.com/2012/07/lessons-in-website-security-anti.html。總之,他們不是一個很好的例子。 – legoscia 2012-08-08 17:35:37
不明白爲什麼這已被關閉爲主題。當然,詢問我們自己的密碼系統中是否有6個字符是一個很好的標準,這是一個很好的問題。 – 2012-08-09 14:50:47