越來越多的安全專家說，為了阻止暴力密碼黑客工具，密碼應(yīng)該超過14個(gè)字符。但是，對大多數(shù)企業(yè)用戶群來說，這似乎有點(diǎn)兒要求太高了。

密碼長度是有原因的，且并不是因?yàn)楸┝ぞ?。而是因?yàn)椴屎绫恚≧ainbowTable，它是一張采用各種加密算法生成的明文和密文的對照表），稍后我們將對此作出解釋。首先，為安全起見，現(xiàn)代應(yīng)用程序和操作系統(tǒng)不會明文存儲用戶密碼。相反，因?yàn)橛脩糁刂妹艽a，輸入的字母數(shù)字字符會進(jìn)行加密算法，創(chuàng)造了一個(gè)獨(dú)特的加密哈希值，它代表密碼，且它存儲在系統(tǒng)中的一個(gè)文件里。當(dāng)用戶返回到訪問系統(tǒng)，通過輸入序列相同的字母和數(shù)字，系統(tǒng)生成一個(gè)動態(tài)哈希序列和它的值，將它與原始文件的值對比，確定用戶輸入的密碼是否正確。

過去，哈希密碼被認(rèn)為是一個(gè)安全的辦法，因?yàn)榧词购诳湍軌颢@取系統(tǒng)的密碼哈希文件，但以計(jì)算機(jī)的能力，采取隨機(jī)輸入密碼與系統(tǒng)文件中已知的哈希值進(jìn)行匹配，是一個(gè)不可能完成的任務(wù)。然而，由于這些信息的價(jià)值

以及當(dāng)今計(jì)算機(jī)指數(shù)級的計(jì)算能力，黑客已經(jīng)開始采取將每一個(gè)密碼字符序列組合映射到它們的哈希值——從A，AA，AAA開始，通過整個(gè)字母數(shù)字序列，并將結(jié)果存儲在公開可用的表被稱為彩虹表。這當(dāng)然需要許多小時(shí)的努力，但這種類型的工作正在進(jìn)行中。從最初試圖獲取密碼的哈希值開始，表的范圍和規(guī)模都在不斷增長，已經(jīng)增長到密碼低于12-14個(gè)字符長度的話，那它們的哈希值現(xiàn)在很有可能存儲在彩虹表中的某個(gè)位置。這意味著，一個(gè)獲得系統(tǒng)哈希文件的不懷好意的人可以輕松獲得一個(gè)彩虹表（關(guān)于操作系統(tǒng)或應(yīng)用程序的），從而查找哈希值來獲得用戶存儲在里面的密碼。不幸的是，隨著彩虹表的規(guī)模不斷增長，密碼必須變得更長更復(fù)雜，這樣才能使別人獲得用戶哈希值的要做的努力更大更沉重。正在進(jìn)行的組裝彩虹表數(shù)據(jù)的工作，可能會很快讓關(guān)于最小密碼長度的最佳做法的討論變得毫無意義，這也是很多專家認(rèn)為對重要的有價(jià)值的數(shù)據(jù)的身份驗(yàn)證憑據(jù)來說，密碼一個(gè)糟糕的選擇的主要原因。

盡管密碼哈希文件會帶來危險(xiǎn)，但使用強(qiáng)大的其他憑據(jù)，如軟件/硬件令牌，生物識別技術(shù)和基于知識的認(rèn)證，這個(gè)問題可以很容易地得到解決。但在今天的市場中，密碼仍然是最常見的身份驗(yàn)證憑據(jù)。因此，針對企業(yè)系統(tǒng)執(zhí)行更長的最小密碼長度，可以幫助使密碼不易受到暴力攻擊。那么，怎樣才能使用戶使用長密碼更加方便？答案很簡單，通過使用“密碼短語”。與其創(chuàng)建一個(gè)無意義的字符和數(shù)字的長字符串，人們可以利用熟悉的句子，建立他們心中的圖像，有人覺得這樣更容易回想、記住他們的密碼。例如，如果用戶有一個(gè)孩子在上學(xué)，他們很可能想到這句話，“我的孩子是五年級的優(yōu)等生，”這可以很容易地被翻譯成他或她記得的密碼，如Bobbies#1OnThe5thGradeHR?；蛘咭粋€(gè)人可能很喜歡音樂，然后想，“我高中畢業(yè)時(shí)最喜歡的樂隊(duì)是SavageGarden，”這可以轉(zhuǎn)變成這個(gè)密碼N1998ILovedSavageGarden。這兩個(gè)例子中的密碼都很復(fù)雜且很容易就超過了14個(gè)字符的長度。短和獨(dú)特的密碼組合也可以，只不過在如何創(chuàng)建密碼時(shí)需要一些想象力和不同的思考方式。
 

【編輯推薦】

1. 密碼安全策略：找到人與密碼之間的平衡
2. 解析哈希值傳遞攻擊的基本原理
3. 操作系統(tǒng)密碼安全隱患及設(shè)置研究分析
4. 如何保證Linux操作系統(tǒng)下的密碼安全