1、在一定的強度之上,不需要越來越複雜。 2、定期更換密碼,從理論上說,有意義,如下: 假設你使用的密碼強度涵蓋了一億種密碼,假設入侵者窮舉這一億種密碼需要30天。 當入侵者窮舉到10天的時候(此時你的密碼已被獲得的機率是1/3),你更換了密碼,那麼有2/3的可能,已經窮舉過的那部分作廢,需要重新來過。這又需要30天,10天之後你又換了密碼…… 可以看出,你更改密碼的頻率與窮舉所有組合所需要的時間的比值,決定了命中的機率(另外,別人剛剛猜到你的密碼,你就換了新的,也有很重要的安全意義)。如果你一直不更換密碼,有限長度的密碼總是會在有限時間裡被窮舉到。 要防止窮舉有兩種途徑: 1、增加更換密碼的頻率,很多高安全強度的通訊機制,每秒鐘可以更換密碼數百次甚至更高,幾乎無法窮舉。 2、不頻繁更換密碼,但限制窮舉行為(禁止窮舉和延長窮舉時間)。銀行卡的密碼一般允許被嘗試三次即完全禁止。大多數網站在輸錯密碼次數過多以後,會限制若干分鐘內無法窮舉(這會數萬倍上億倍地增加窮舉所需要的時間)。大多數的作業系統也有類似限制。這樣,即使你一輩子不更換密碼,別人要窮舉也有難度。
1、在一定的強度之上,不需要越來越複雜。 2、定期更換密碼,從理論上說,有意義,如下: 假設你使用的密碼強度涵蓋了一億種密碼,假設入侵者窮舉這一億種密碼需要30天。 當入侵者窮舉到10天的時候(此時你的密碼已被獲得的機率是1/3),你更換了密碼,那麼有2/3的可能,已經窮舉過的那部分作廢,需要重新來過。這又需要30天,10天之後你又換了密碼…… 可以看出,你更改密碼的頻率與窮舉所有組合所需要的時間的比值,決定了命中的機率(另外,別人剛剛猜到你的密碼,你就換了新的,也有很重要的安全意義)。如果你一直不更換密碼,有限長度的密碼總是會在有限時間裡被窮舉到。 要防止窮舉有兩種途徑: 1、增加更換密碼的頻率,很多高安全強度的通訊機制,每秒鐘可以更換密碼數百次甚至更高,幾乎無法窮舉。 2、不頻繁更換密碼,但限制窮舉行為(禁止窮舉和延長窮舉時間)。銀行卡的密碼一般允許被嘗試三次即完全禁止。大多數網站在輸錯密碼次數過多以後,會限制若干分鐘內無法窮舉(這會數萬倍上億倍地增加窮舉所需要的時間)。大多數的作業系統也有類似限制。這樣,即使你一輩子不更換密碼,別人要窮舉也有難度。