安全专家的意见
网络安全专家一贯主张将较长的密码作为强大安全性的一个关键组成部分。 “密码长度会大大增加破解密码所需的时间和计算资源,“著名密码学家和安全专家布鲁斯-施耐尔(Bruce Schneier)说,“较长的密码会成倍增加暴力攻击的难度,使其成为密码强度的一个重要方面”。
美国国家标准与技术研究院(NIST)过去曾建议,安全密码的最小密码长度 应选择大于 14 个字符 ,但同时也指出,密码长度的绝对最小值应为 8 个字符,而最佳密码长度应在 14 到 16 个字符之间。NIST 还强调,较长的密码对现代破解技术(包括国家行为者或特工部门等能够使用强大硬件甚至量子计算的高级定向攻击)具有更好、更强的抵御能力。随着计算能力的提高,密码也需要增加长度以抵御攻击 。
将密码设置为 16 个字符或更长
以下关于密码长度和复杂性的图表 是根据美国国家标准与技术研究院(NIST)和美国信息安全协会(CISA)于 2024 年发布的 建议绘制的。随着量子计算机的发展,每个人都需要重新审视自己的密码长度,检查密码是否仍然足够强大,以抵御计算能力远高于传统计算机系统的量子计算机的攻击。
虽然安全专家建议密码长度至少以 12 个字符为宜,但16-20 个字符或更长的密码是高度敏感账户的理想密码 。美国网络防御局(CISA)建议
”至少 16 个字符—越长越强!“
美国国家标准与技术研究院(NIST)在 2024 年更新了密码长度建议 ,并指出
”密码长度是描述密码强度的一个主要因素”。
2024 年,NIST 针对在线服务的密码要求发布了新指南,以提高这些服务的安全性。与 CISA 推荐的理想最小密码长度为 16 个字符类似,NIST 指出,安全密码应该
”长度至少为 15 个字符”。
密码长度与复杂性
鉴于新密码长度的增加,以前关于使用特殊字符和不使用字典单词的提示就不像较短密码那么重要了。安全专家说, 一般来说,密码越长越好 。但如果你想获得完美的密码 ,也不妨遵循这些建议:
- 大写和小写字母:KLJDFwerfn
- 数字字符923857
- 特殊字符:=)§)]€&
- 随机性:重要的是要避免可预测的模式、只用字典单词或个人信息。
-
纯数字密码:完全由数字字符(0-9)组成的密码,每个字符只有十个可能的选项。例如,一个 8 个字符的数字密码有 10 x 10 x 10 × 10 × 10 × 10 × 10 = 100,000,000 (1 亿)种可能的组合。
-
数字和小写字母:如果再加上小写字母(a-z),每个字符就有 36 种可能的组合。对于同时使用数字和小写字母的 8 个字符密码,可能的组合数会急剧增加到 36 x 36 x 36 x 36 x 36 x 36 x 36 = 2.8211099e+12 (两万亿八千二百一十亿零九百万零九千)。
为了在安全性和可用性之间取得平衡,可以考虑使用口令:将一系列随机单词串联起来(例如,“太阳-英里50>月球-米51!”),这样既容易记住,又很难猜到。
在选择安全密码时,一定要考虑到长度和复杂性都很重要,但如果你在复杂性方面有困难,只需将密码设置得更长一些,就能在密码强度方面获得类似的效果。
密码长度与破解时间
密码长度是决定黑客破解时间长短的最关键因素之一。密码破解工具依靠的是蛮力—一种系统地尝试给定密码的每种可能组合,直到找到正确密码为止的方法。这种攻击需要时间—这显然取决于密码的最小长度。实际上,每增加一个字符,暴力破解者破解密码所需的时间就会呈指数增长 。例如,一个长度为 6 个字符的密码可能需要几分钟或几小时才能破解,这取决于密码的复杂程度和可用的计算能力。但是,如果密码长度增加到 12 个字符,破解过程可能需要数年甚至数百年的时间,尤其是当密码中包含数字、大写和小写字母、特殊字符和符号等多种字符类型时。
这种时间上的指数式增长凸显了为什么更长的密码能提供更强的保护。
美国国家标准与技术研究院(NIST)在 2024 年提出了关于最佳最小密码长度和密码结构的建议,在线服务也需要效仿这一建议,更新其密码要求,最重要的是,需要允许使用更长的密码 ,因为许多服务仍然限制用户在创建密码时可以输入的字符数。例如,Tuta Mail 要求密码长度至少为 10 个字符,但允许密码长度不限。此外,Tuta 还在注册时提供了一个密码生成器,该生成器已经采用了 NIST 的指导原则,用随机选择的单词生成长口令,使密码足够长以达到最佳强度 。
我们将在此详细介绍如何创建高强度密码。
为什么密码越长越好
密码的最短长度与恶意行为者猜测密码时必须尝试的可能组合数量直接相关。举个例子:
-
一个由大写、小写、数字和符号混合组成的10 个字符的密码 可以提供约83 种六千万种组合 。
-
而一个16 个字符 的密码 则会将其扩展到1080 亿种组合 ,难度大大增加。
即使是有望对传统加密技术构成重大挑战的量子计算机,也仍然会发现具有不可预测结构的长密码具有难以破解的挑战性。
来自 Tuta Mail 用户调查的启示
我们 Tuta Mail 注重最先进的安全性,并已将量子安全加密集成到我们的电子邮件和日历服务中。在 Tuta 中,用户的私人密钥与密码一起被保护起来,因此选择一个长而强的密码就显得更加重要。因此,我们对 2500 名用户进行了调查,以更好地了解人们对密码安全的了解程度。
鉴于 Tuta 用户并不代表普通互联网用户,而是非常精通技术且对安全感兴趣的用户,调查结果令人震惊:
- 16%的用户通常使用不超过 10 个字符的密码。
- 32%的人使用长度为 11-15 个字符的密码。
- 31% 的人使用 16 至 20 个字符的密码,以提供较高的安全级别。
- 21%的人喜欢长度超过 20 个字符的密码,以提供最大程度的保护。
令人惊讶甚至震惊的是,尽管 Tuta 用户非常了解安全问题,但仍有 16% 的人只选择 10 个字符以内的密码(这不够安全!),32% 的人选择 11-15 个字符之间的密码,尽管更长的密码肯定会更好,尤其是在量子计算机兴起的情况下。
我们必须记住,Tuta 的普通用户比普通互联网用户对网络安全的了解要多得多。例如,同一项调查还显示,90% 的用户知道如何使用 Tuta Mail 对电子邮件进行端到端加密,43% 的用户能够熟练使用 PGP 加密,如果我们向普通大众提出这些问题,肯定达不到这个数字。
尽管数字知识水平如此之高,但仍有 34% 的 Tuta 用户使用 14 个字符或更少的密码,即使是像加密邮箱这样的私人账户也是如此。
这表明,我们在教育人们掌握最佳网络安全实践方面还有很长的路要走。
从 Tuta 调查中得到的启示
调查结果揭示了 Tuta 用户对安全的深刻理解,但也凸显了需要改进的地方。虽然 52% 的用户希望密码长度超过 15 个字符,但仍有 16% 的用户认为 10 个字符或更少的密码就足够了,这使得账户容易受到攻击。
由于量子安全电子邮件提供商 Tuta Mail 的用户比普通互联网用户更有知识,16% 的用户使用的密码只有 10 个字符甚至更少,这令人震惊。这就引出了一个问题:有多少在线账户容易受到暴力破解攻击?简而言之,肯定很多。
密码长度是提高网络安全性最有效、最直接的方法之一。 随着网络攻击的威胁日益严重,以及量子计算的威胁迫在眉睫,使用长而复杂的密码是必须的。
Tuta 的调查结果突出表明,有必要更好地教育人们了解最佳的最小密码长度,鼓励他们使用密码管理器和随机密码生成器 。此外,重要账户必须使用双因素身份验证,最好使用硬件 U2F 密钥。
让我们共同努力,打造一个更加私密的互联网,更好地保护您的数据!
