0

在英国的 Tesco 进行在线杂货购物的用户帐户需要 6 到 10 个字符的密码。虽然他们将密码限制为 10 个字符(我的密码生成器默认为 32 个)让我有些恼火,但他们允许 6 个字符的密码来保护用户数据(包括信用卡详细信息)这一事实让我感到担忧。

6 个字符的密码是否代表安全风险,或者它们是一个很好的例子?

4

4 回答 4

2

6 个字符的密码很短,可能太短了。此外,设置最大密码大小是没有意义的,因为您应该只存储一个散列(或者更好的是 bcrypt、scrypt 或 PBKDF2 的输出)。

也就是说,这取决于系统如何处理密码是否安全。例如,PIN 通常约为 4..6。它仍然非常安全,因为在 PIN 被阻止之前,您的银行可能只允许您输入大约 3 到 5 次不正确的 PIN。

如果您将密码用作加密数据的密钥,而没有系统来控制对所述数据的访问(将文件加密到可能被盗的硬盘上),那么 6 个字符太短了。您将需要一个完整的密码和密钥派生方案来确保加密容器的安全。

于 2012-08-08T21:49:42.507 回答
1

如果密码包含大写、小写、数字和符号,那么一次在线攻击可能需要 23 年,而且密码被其他方法(密码丢失、恢复方法)访问的可能性更大,我个人不会满意6 个字符的密码

密码强度测试器https://www.grc.com/haystack.htm

于 2012-08-08T14:52:11.767 回答
1

安全性是可用性和安全性之间的权衡。人们应该能够记住他们的密码,但它也应该是安全的。许多公司采用简单的方法并允许使用短密码,因为选择安全密码应该是用户的责任。我不认为,普通用户可以处理这个。我们的工作是让他们了解什么是好的密码。

我认为 10 个字符的限制与 6 个字符的限制所代表的风险大致相同。我的密码(不是随机生成的)大约是 12-16 个字符。因此,在您的情况下,即使我有一个,我也不允许使用一个好的密码。该政策与我们提高人们对良好密码敏感度的使命背道而驰。

关于长度本身:如果无法进行暴力攻击,我认为 6 个字符的密码可以满足安全要求(将分布式系统视为破解密码的一种非常强大的方法)。

维基百科的文章似乎对此事有一定的深度。

于 2012-08-08T15:06:54.440 回答
0

这取决于允许使用哪些字符。

无论如何,六位密码是不够安全的。

您可以使用这个安全计算器:http ://daleswanson.org/things/password.htm

于 2012-08-08T14:44:02.523 回答