在英国的 Tesco 进行在线杂货购物的用户帐户需要 6 到 10 个字符的密码。虽然他们将密码限制为 10 个字符(我的密码生成器默认为 32 个)让我有些恼火,但他们允许 6 个字符的密码来保护用户数据(包括信用卡详细信息)这一事实让我感到担忧。
6 个字符的密码是否代表安全风险,或者它们是一个很好的例子?
在英国的 Tesco 进行在线杂货购物的用户帐户需要 6 到 10 个字符的密码。虽然他们将密码限制为 10 个字符(我的密码生成器默认为 32 个)让我有些恼火,但他们允许 6 个字符的密码来保护用户数据(包括信用卡详细信息)这一事实让我感到担忧。
6 个字符的密码是否代表安全风险,或者它们是一个很好的例子?
6 个字符的密码很短,可能太短了。此外,设置最大密码大小是没有意义的,因为您应该只存储一个散列(或者更好的是 bcrypt、scrypt 或 PBKDF2 的输出)。
也就是说,这取决于系统如何处理密码是否安全。例如,PIN 通常约为 4..6位。它仍然非常安全,因为在 PIN 被阻止之前,您的银行可能只允许您输入大约 3 到 5 次不正确的 PIN。
如果您将密码用作加密数据的密钥,而没有系统来控制对所述数据的访问(将文件加密到可能被盗的硬盘上),那么 6 个字符太短了。您将需要一个完整的密码和密钥派生方案来确保加密容器的安全。
如果密码包含大写、小写、数字和符号,那么一次在线攻击可能需要 23 年,而且密码被其他方法(密码丢失、恢复方法)访问的可能性更大,我个人不会满意6 个字符的密码
安全性是可用性和安全性之间的权衡。人们应该能够记住他们的密码,但它也应该是安全的。许多公司采用简单的方法并允许使用短密码,因为选择安全密码应该是用户的责任。我不认为,普通用户可以处理这个。我们的工作是让他们了解什么是好的密码。
我认为 10 个字符的限制与 6 个字符的限制所代表的风险大致相同。我的密码(不是随机生成的)大约是 12-16 个字符。因此,在您的情况下,即使我有一个,我也不允许使用一个好的密码。该政策与我们提高人们对良好密码敏感度的使命背道而驰。
关于长度本身:如果无法进行暴力攻击,我认为 6 个字符的密码可以满足安全要求。(将分布式系统视为破解密码的一种非常强大的方法)。
维基百科的文章似乎对此事有一定的深度。