当前位置：首页 → 问答吧 → 点解密码要有字母加数字等既限制？

点解密码要有字母加数字等既限制？

时间：2014-05-06

来源：互联网

有样野唔明，想请教有关网路保安的专家。

点解密码要有字母加数字等既限制？当加入限制后，可出现组合会明显减少，令 hacker 更易盗取到密码。

讲个真实例子比大家听（与上面情况不同），我公司既某某系统，要求所有user每个月改一次密码，又要有字母加数字，最后发现，大部分user 将即月月份加年份定为密码，现在日期是2014年4月的话，密码就是apr2014，或2014apr.

好想知点解developer 要咁刻意降低系统既保安。

作者: redskyhk 发布时间: 2014-05-06

字母+数字个组合大好多,字母/数字越多,越难破解,并冇降低系统保安。
设定2014apr /apr2014祗系个别users保安意识问题,贪方便易记。

作者: KRally 发布时间: 2014-05-06

以一个8个字纯细阶嘅密码可以有8^26次方嘅组合，但有埋数字系8^36次方。明显系比纯细阶密码嘅组合多

至於你嘅问题系使用者意识问题，你可以教导佢地或加强个限制，例如字典字系唔可以用

作者: sinson123 发布时间: 2014-05-06

不好意思可能我说得不太清楚，我意思是，如果"容许"数字加字母，那真的有36^8种组合。但如果"强制"要有字母及数字，组合就会少了。
例如，如果必定要有起码一个字母的话，组合就变成36^7 x 26 ，即系少过36^8.

作者: redskyhk 发布时间: 2014-05-06

CHING理论上冇错
但USER必然会用最易记嘅密码组合
如全数字(10^8)或全字母(26^8)
所以唔会有36^8

作者: positive_man 发布时间: 2014-05-06

引用:原帖由 redskyhk 於 2014-4-8 02:47 PM 发表
有样野唔明，想请教有关网路保安的专家。

点解密码要有字母加数字等既限制？当加入限制后，可出现组合会明显减少，令 hacker 更易盗取到密码。

讲个真实例子比大家听（与上面情况不同），我公司既某某系统，要 ...

有趣的问题, 从细小处引发思考

如果唔强制用letter+num, 相信大部份人都会系all nums/all letters
再用你引用的例子,
系数学层面: 36^7 x 26 > 26^8/10^8

不过系developer层面(小弟系其一),
我已经尽我能力要求end-user改个secure password,
我再用埋salt防rainbow-table,
俾人brute唔怪我事, 唔好炒我

作者: KeithKwong 发布时间: 2014-05-06

引用:原帖由 redskyhk 於 2014-4-8 07:24 PM 发表
不好意思可能我说得不太清楚，我意思是，如果"容许"数字加字母，那真的有36^8种组合。但如果"强制"要有字母及数字，组合就会少了。
例如，如果必定要有起码一个字母的话，组合就变成36^7 x 26 ，即系少过36^8.

...

如果唔强制, user可能用123456
你真心认为123456难估过apr2014?

作者: 山囧山发布时间: 2014-05-06

即系密码组合最少值，强制英数组合比不强制组合大？

作者: t1a16 发布时间: 2014-05-06

你唔可以假设全世界都用brute force crack 密码