为什么我们须要复杂的password

前两天我打开邮箱一看。收到公司1331一封要求改动邮箱password的邮件。

为什么我们须要一个复杂的password呢？尽管我一直以来设置的password都非常复杂。可是公司这次要求改动password的邮件激发起我的好奇心，我想试试到底什么样的password才算安全？

常见password破解方式有两种。一种是字典式破解，一种是暴力破解。曾经电脑处理器速度较慢，内存也非常小，因此为了加快破解速度，黑客经常使用字典式破解。所谓字典式破解就是首先将经常使用的password、英文单词、中文拼音等存储在一个文本文件中，然后採用程序挨个測试。一旦通过则停止。常见的password有admin、1234、pass1234、password、888888、518518等等。

比如有人将银行卡password设为“888888”或者“999999”等所谓吉祥的数字组合。假设有人盗了你的银行卡，去ATM机測试几次。非常快就能将您银行卡里的金额所有转走。

第二种是暴力破解。

当字典式破解不成功后，黑客就会採用暴力破解。

所谓暴力破解就是将数字、字母等各种进行穷举。挨个測试。与字典式破解不同的是。暴力破解的数据量通常相当大。

以8位纯数字password为例，暴力破解的数据量达到10⁸0，即一亿组password。而包括数字和字母组合的。暴力破解的数据量达到36⁸。大约2.8万亿组password，而假设是区分大写和小写字母的password组合则达到62⁸组。大约218万亿组password。

password每添加一位。password组合则曾几何级数增长。

近期在船上时间比較多。于是我用Ruby写了一小段程序。模拟了一下password破解所须要的时间。我測试程序所用的笔记本处理器是Intel Core i5 2.4GHz，内存为8G 1600MHz。为了模拟真实的使用环境，我的測试方法是首先随机生成一个纯数字的8位数password，然后利用程序模拟暴力破解password。经过几次測试，破解8位纯数字password的平均速度为2分半钟左右。

所以您的password假设是由等于或低于8位的纯数字组成，即便加上网络延时，破解时间也不会超过一个小时。

公司IT部门建议的password为：PaSs1234或p!ss1234或Pass!$#%。

对于暴力破解来说第一个，即PaSs1234则共同拥有2.8万亿组password。可是对于字典破解来说。能够尝试pass和1234的组合，如Pass1234、Pass1234、PaSs1234非常easy猜解。

第二个password。p!ss1234。尽管仅仅是将a换成感叹号，可是由于这个p。ss不属于单词，并且“。”一般会与“~！@#￥%……&*”等一起列为特殊符号。所以这样类似的password组合至少有40⁸种，即256万种组合，配合字典破解所需时间不会超过10分钟。最后一种password，前面能够配合字典破解。后面4位用暴力破解。大约有2700万组。破解难度就非常大。并且也须要一定的技巧。

那么什么样的password才安全呢？当然是越长、越复杂越安全。

可是太复杂、太长的password不仅难记。用起来也不方便。对于上网经常使用的password。由于站点採用了限制登录次数以及使用验证码的方式避免了暴力破解式的攻击，所以您能够依据自己的情况，用数字、password、特殊字符等共同组成，如rNh#4915*。