英国Tesco网上购物的用户帐户需要6到10个字符的密码。虽然我有点恼火,但他们将密码限制为10个字符(我的密码生成器默认为32),他们允许使用6个字符的密码来保护用户数据,包括信用卡详细信息,这一点让我感到担忧。
6个字符的密码是否代表安全风险,或者它们是否是一个很好的例子?
答案 0 :(得分:2)
6个字符的密码很短,可能太短了。此外,拥有最大密码大小是没有意义的,因为您应该只存储一个哈希值(或更好的输出bcrypt,scrypt或PBKDF2)。
那就是说,它取决于系统如何处理密码,如果它是安全的。例如。 PIN通常约为4..6 位。它仍然非常安全,因为您的银行可能只允许您在PIN被阻止之前输入大约3到5个错误的PIN条目。
如果您使用密码作为密钥来加密数据而没有系统来控制对所述数据的访问(将文件加密到可能被盗的硬盘上),那么6个字符很多来简短。您需要一个完整的密码和密钥派生方案才能使加密容器安全。
答案 1 :(得分:1)
如果密码包含大写,小写,数字和符号,则在线攻击可能需要23年,并且通过其他方法访问密码的机会更多(密码丢失,恢复方法),我个人不会对6个字符的密码感到满意
密码强度测试人员https://www.grc.com/haystack.htm
答案 2 :(得分:1)
安全性是可用性和安全性之间的权衡。人们应该能够记住他们的密码,但它也应该是安全的。许多公司都采用简单的方法并允许短密码,因为用户应该选择安全密码。我不认为,普通用户可以处理这个问题。我们的工作是让他们了解什么是好密码。
我认为10个字符的限制代表了与6个字符限制相同的风险。我的密码(不是随机生成的)大约是12-16个字符。因此,在您的情况下,即使我有一个密码,也不允许使用密码。这项政策违背了我们的使命,即提高人们对密码的认识。
关于长度本身:如果无法进行强力攻击,我认为6字符密码可以满足安全要求。 (将分布式系统视为破解密码的一种非常强大的方法)。
Wikipedia article似乎对此事有一些深度。
答案 3 :(得分:0)