私は統計学者ではないので、これに関する数学はわかりませんが、次の 2 つのシナリオを考えてみましょう。
単一の 16 文字のパスワード:
Password: XXnrKkO4`AM&U$6D
また
2 つの 8 文字のパスワード:
Password 1: u/wyk<}U
Password 2: hc]KpL3C
2 つのパスワード レイアウトを使用して高度なセキュリティが必要なサイト (銀行など) をいくつか見てきましたが、セキュリティはどの程度向上しますか?
3 に答える
3
銀行は通常、同じように扱われる 2 つのパスワードを要求しません。
私が利用している銀行の 1 つ、HSBC は 2 要素認証を使用しています。彼らは、私のアカウントのパスワード (「私が知っていること」) と、キーフォブによって生成されたワンタイム コード (「私が持っていること」) を要求します。これにより、単一要素認証の 2 つの弱点、「ラバーホース暗号化」 (誰かが私のパスワードを打ち破るが、キーフォブを持っていない) と盗まれたパスワード (キーフォブは持っているが、私のパスワードは持っていない) を防ぐことができます。脳)。
Nationwide (英国) などの他の銀行では、顧客 ID (ユーザー名に相当) だけでなく、「記憶データ」 (実質的にはパスワード)と、担当者によって選択される 6 桁の数字コードから 3 桁を要求されます。マウスでドロップダウンリスト。
これは、キーボード ロガーからの保護に役立つことを理解しています: パスワード (「記憶データ」) は従来のパスワード セキュリティを提供しますが、数字はランダム化され、マウスで選択されるため、ドロップダウン数値リストはキーロガー保護を提供します (キーロガーは一般的にそうしません)。マウスの動きをログに記録します)。ただし、パスワード全体をマウスで選択することは実用的ではないため、それが説明されています。
上記の 2 つのシナリオについて話していないと仮定すると、元の質問に戻りますが、答えは「場合によって異なります」です。
ただし、問題の Web サイトは、パスワード マッチの実装を行う前に 2 つのパスワードを連結しているだけだと思われます (できればソルト ハッシュを使用)。 16 文字のパスワード (26^16) は、2 つの 8 文字のパスワード (26^8 * 26^8 == 26^(8+8) ) と同じです。
したがって、入力ドメインのサイズが両方のケースで同じであることを考えると、Web サイトの開発者が愚かであるか、使いやすさを向上させるために別のテキストボックスを用意していることを示唆しています (たとえば、覚えやすい 2 つのパスワードを連結することで長いパスフレーズが生成されます)。 、2要素システムが配置されているか、キーロガー回避技術が配置されています....またはまったく別の何かがあります:)
于 2012-07-22T01:44:11.707 に答える
0
それほど安全ではなく、DB レイアウトによっては実際にパフォーマンスが低下する可能性があります。ユーザーにとっても大きな迷惑です。
于 2012-07-22T01:31:35.690 に答える
0
あなたが参照している方法は「二重検証」と呼ばれ、いくつかの異なる識別手法と併用すると最も効果的です。
たとえば、1 番目の確認方法は電子メール + パス (私たちは皆その方法に精通しています) を使用し、2 番目の方法は携帯電話 + SMS (追加の確認のために携帯電話に送信されるコード) を使用することができます。
これは素晴らしいアイデアで、私は常にすべての Google アプリで使用しています。ほんの数か月前、競合他社の 1 人 (名前なし) が Google アカウントをハッキングされ、ユーザー情報が公開されました。これは、二重検証を行うことで回避できます。
パスワードの有効性に関する質問については、このリンクを確認してください。 http://howsecureismypassword.net/
ダブルパスはセキュリティの強化を意味しますが、異なる検証方法を使用するとより効果的です。
于 2012-07-22T13:41:47.147 に答える