譯者 | 陳峻

審校 | 重樓

在數(shù)字時代，密碼的強度往往是安全與脆弱之間的一線之隔。然而，在密碼的世界里，并非所有的復(fù)雜密碼都具有等同的功效。下面，我將和您討論密碼的復(fù)雜性與熵之間的微妙關(guān)系，及其對于網(wǎng)絡(luò)安全所產(chǎn)生的至關(guān)重要的影響。

復(fù)雜性的錯誤邏輯

在創(chuàng)建所謂復(fù)雜密碼時，人類往往會陷入自命不凡的陷阱中。畢竟，我們是一種習(xí)慣性的動物，喜歡有意義的序列和熟悉的結(jié)構(gòu)。這種與生俱來的、對模式的偏好自然延伸到了創(chuàng)建密碼的方式上，進而做出自己無法意識到的、易被預(yù)測的選擇。例如，各種所謂難忘的日期、連續(xù)的鍵盤路徑、以及簡單的字母數(shù)字排列等看似復(fù)雜，而實際上卻使得密碼更容易受到攻擊。

復(fù)雜性的假象

密碼的復(fù)雜性是一個經(jīng)常被曲解的話題。許多人認為，只要在密碼末尾加上一個大寫字母或數(shù)字，就能提高密碼的安全性。然而，此舉無異于在紙門上加鎖。乍一看，它給人一種安全的錯覺，但仔細分析便知，它在現(xiàn)實世界中提供的安全保護可謂微乎其微。畢竟，黑客很容易也擅長利用字典攻擊工具，通過現(xiàn)有的算法，對常見的單詞和簡單的變體進行有條不紊的猜測。

因此，好的密碼不僅要包含各種字符，還要通過更深的層疊、更細微的方法，充分考慮如何將這些字符合理地進行組合。也就是說，它應(yīng)該是一種隨機性的編排，能夠?qū)⒋?、小寫字母、?shù)字和符號交織到一起，避免使用常見的短語和可預(yù)測的替換，以其真正的復(fù)雜性，讓攻擊者無法尋找到其明顯的模式，無從進行邏輯排序或猜測。

正確處理復(fù)雜性

如前所述，保障密碼的復(fù)雜性不僅僅在于字母、數(shù)字和符號的混合，從根本上說，更在于其組合的不可預(yù)測性。您可以把密碼想象成一個復(fù)雜的拼圖，其中的每一塊（字符）應(yīng)當(dāng)被隨機放置，而不存在任何可辨別的模式或常見的替換。例如，我們可以用復(fù)雜的格式：9a!Pw2s$dR來代替Password1!這種看似雜亂無章的密碼編排，就能夠遠離易被黑客破譯的模式，從而大幅提高破解難度和整體安全性。

揭開熵的神秘面紗

熵的不可預(yù)測特性往往被運用在網(wǎng)絡(luò)安全領(lǐng)域中。它能夠量化和測量密碼中固有的隨機性和不確定性。我們可以把熵想象成充滿了不可預(yù)知性的浩瀚無邊的海洋。由于這片海域波濤洶涌，而且時有黑客之類的“海盜”出現(xiàn)，因此穿越它是具有挑戰(zhàn)性的。

而密碼的高熵（High entropy）性意味著，由于不再遵循可識別的模式或邏輯，因此它成為了未經(jīng)授權(quán)的解密嘗試或暴力攻擊的巨大阻礙。繼續(xù)上述比喻，如果我們把密碼中的每個字符都看作是大海中的一朵浪花的話，那么這些波浪（字符）的多樣性和隨機性越強，大海狀態(tài)就越混亂，其可預(yù)測性也就越低。

所有說，高熵密碼并非是對那些常用短語、邏輯序列、或容易猜到的字母、數(shù)字及符號組合的替換，而是讓這些元素在不可預(yù)測方面相互影響。而正是這些隨機性和缺乏規(guī)律性構(gòu)成了真正的安全密碼，使其成為一套無法被直接破解的密碼機制。

高熵的重要性

為了更好地理解高熵性在密碼安全領(lǐng)域的重要性，讓我們來看一個例子。乍一看，"Tr0ub4dor&3"之類的密碼可能既復(fù)雜又安全。然而，在浩瀚的熵海洋中，它就像一只坐以待斃的鴨子，既脆弱又容易被暴露。這種脆弱性的原因就在于它的可預(yù)測性。

具體而言，這類密碼雖然使用了數(shù)字和符號組合，但是也沿用了一種十分常見的模式--用字母代替視覺上相似的數(shù)字或符號。比如：用"0"代替了"o"，用"4"代替了"a"。這種看似奇崛實為尋常的復(fù)雜性，在無形中已遵循了黑客擅長利用的可預(yù)測規(guī)則與模式。

可以說，每個字符都能夠增加一層復(fù)雜性。不過，這并非由于其本身的特殊性，而是因為它與其他字符的組合、以及在順序安排上的出人意料。與此形成鮮明對比的是類似"W8z$2!pLw"的密碼。它并沒有遵循任何明顯的邏輯或常見的替換模式。由于這些字符的排列方式無法預(yù)測，因此黑客極難用普通算法進行猜測或破解。據(jù)此，其隨機性和缺乏規(guī)律性有效地成為了抵御入侵的強大屏障。

而正是這種密碼級別的混亂與不可預(yù)測性、才真正定義了高熵密碼。此類密碼不僅能抵御普通的黑客攻擊，而且可以將破解密碼所需的努力和資源，提升到攻擊者通常無法接受的程度。這種不可預(yù)測的復(fù)雜程度，能夠使得密碼從單純的威懾變成了強大的屏障，進而大幅提高密碼的安全性和抵御網(wǎng)絡(luò)攻擊的能力。

密碼生成器

針對前文提到的人類在創(chuàng)造復(fù)雜性時的固有缺陷，密碼生成器在某種程度上便成為了剛需。我們可以把密碼生成器看作是熵海洋中精明的領(lǐng)航員。它將引導(dǎo)我們遠離可預(yù)測性和人為偏見等危險暗礁。

通常，它們會采用算法生成真正隨機的高熵密碼。此類密碼遠超出了基于模式的黑客攻擊策略的掌握范圍。從本質(zhì)上說，密碼生成器的無偏見算法才是真正提供強大的數(shù)字防御的技術(shù)性方法。

高熵密碼制定的實用步驟

• 保障長度：較長的密碼通常意味著較高的熵。業(yè)界往往將12-15個字符的密碼視為熵海洋中的一艘堅固的艦船。
• 避免常見的替換：那些將"E"替換為"3"，或?qū)?/span>"O"替換為"0"的方式，比您想象得更容易被預(yù)測。
• 混合使用：使用大小寫字母、數(shù)字和符號的組合。但要記住，隨機組合的方式比組合本身更重要。
• 使用密碼管理器：作為您在熵海洋中的首要伙伴，它們可以為您生成和存儲復(fù)雜的密碼。
• 定期更新：再不可預(yù)測的密碼也需要更新。定期使用新的密碼可以避免黑客跟蹤甚至是摸清規(guī)律。

復(fù)雜性與熵的平衡

在不斷變化的網(wǎng)絡(luò)應(yīng)用環(huán)境中，為了保護數(shù)字資產(chǎn)，我們與其使用脆弱的密碼，簡單地將門鎖上，不如把鎖設(shè)計成一個復(fù)雜的迷宮，讓即使有著豐富經(jīng)驗的黑客也望而生畏。作為網(wǎng)絡(luò)安全實踐中的一項基本原則，具備高熵性的密碼往往能夠通過使用深度密碼學(xué)的相關(guān)算法，保證其不可預(yù)測和隨機的特性。它就像一艘裝備精良、難以捉摸的艦船一樣，能夠在波濤洶涌的數(shù)字世界海域中順暢航行，躲避網(wǎng)絡(luò)海盜帶來的持續(xù)威脅。

譯者介紹

陳峻（Julian Chen），51CTO社區(qū)編輯，具有十多年的IT項目實施經(jīng)驗，善于對內(nèi)外部資源與風(fēng)險實施管控，專注傳播網(wǎng)絡(luò)與信息安全知識與經(jīng)驗。

原文標(biāo)題：Navigating the Stormy Seas of Cybersecurity: The Power of High-Entropy Passwords，作者：Chris Ray