Bu, belirli kullanıcıların parola tahmin etmek, sadece 1296 seçenekleri ile saldırgana bırakacaktır.

No Bu sadece aptalca.

Şifrelerinizi ise properly hashed and salted, gökkuşağı tabloları tesadüfen olmayan bir konudur.

Bu karma edilecek olsa bile, kullanıcı bir şifre çeşitleri ve 2 karakter kırmak için saçmadır.

Bir üst-uç için, neden bir sınırı var, ama bir alt uç için, 6 karakter makul gibi, ben 7 olsa güvenlik için asgari olmasını tercih gibi gözüküyor.

The security requirements should be created in relation to the worth of what is being protected and the damage (or liability caused by the damage) that can occur should it be compromised.

Bazen bu bir organizasyon, müşteri ya da protokol tarafından görevlendirilmiş ve rehberlik için böyle kaynaklarına yöneliyor sonunda güçlük kaydedebilir ve daha güvenli durumlarda, örneğin RSA fobs, güvenlik kartları veya parmak izi okuyucu kullanımı gibi şeyler içerebilir.

Şahsen ben get annoyed, bir site, bazı korkunç karmaşık bir şifre gerektirir. Ben bir sembol / sayısına dahil 6 karakter, böyle stackoverflow gibi bir site, diyelim ki, adil bir gereklilik olduğunu düşünüyorum. Benim banka hesabında? Sadece şifre daha karmaşık bir tad diyelim.

Ancak ek temel güvenlik endişeleri vardır:

• Testler [çok] hızlı uygulanabilir takdirde kaba kuvvet ve sözlük saldırıları sadece pratikte çalışmıyor. Modern UNIX sistemleri bir gölge şifre dosyası kullanımı nedeni budur - o kaba kuvvet saldırıları için şifreler toplama şansını en aza indirir. "Lokavt" can sıkıcı olabilir, onlar da pratikte basit bir kaba kuvvetlerini önleyebilir.
• Sosyal mühendislik: "Ben senin karakterini oynayabilir miyim?" Kız arkadaşının adı ne? Aşağı parolayı yazın veya girilen olurken maruz musunuz? (Herkes mi arıyor?) Mi farklı siteler / amaçlar için ortak kullanmak şifre?
• Diğer "özellikler" güvenlik etrafını dolaşmak mı? Bir parola sıfırlama olabilir veya güncel şifre gönderilecek mi? Bir reset neler kısıtlamalar vardır?
• Güvenlik diğer yollarla tehlikeye (HTTP vs HTTPS veya SSH, erişilebilir [düz metin] depolama, vb vs telnet).
• Ve büyük huysuzlaştırmak: Standard güvenlik soruları. "Sarah Palin e-posta Hacked" için Google. , Dikkatli dikkate almadan bu rota aşağı gitmek etmeyiniz lütfen.

No sayı ve karakter olmak üzere 8 karakter İdeal şifreleri iyidir. 14 veya daha fazla karakter daha iyi olurdu.

3. anahtar: 2-3 karakter şifreleri sözlük saldırılarına (çok az kombinasyonları, ve saldırı kombinasyonları evreni dahil böylece mümkün) çok açıktır.

Üst limit alakasız ama 20 karakterden fazla bir şey kullanıcı teşvik edilmemelidir kötü bir uygulama olduğu, en yapıştırarak / kopyalama olması muhtemel olduğu anlamına gelir.

Gökkuşağı tablo yapma insanlar muhtemelen hepsi 1-karakter uzunluğu şifreleri ile başlayacak ve daha sonra çok hızlı bir şekilde kısa şifreleri bulabilirsiniz.

Maksimum uzunluğu ile ilgili size hiçbir olmalıdır.

Bu, omuzlarının üzerinden bakarak yabancılarla kullanıcılarının çok duyarlı değil bırakır?

Sonra, gerçekten önemli değil form veya değil parola karakterleri dışarı siyah olsun - Birisi sadece kendi şifre iki karakter olduğunu görürse onları kombinasyonları denemek için onlar onu anlamaya kadar kolay olacak.

İki harfli şifreleri ile sorun sosyal mühendislik. Biri sadece iki anahtar yazarak kullanıcıyı gözlemek, ve daha sonra bir kaba kuvvet saldırısı (hatta bir program yazmadan) gerçekçi olur.

(Kimse bir şifre yazarak birini gözlemlemek çünkü) Eğer böyle bir durum ekarte edebilir, ben bir iki harfli şifre bile sözlük saldırıları ışığında iyi olduğunu iddia ediyorum. Böyle bir saldırıyı gerçekleştiren Birileri hala gerçekçi tüm kombinasyonları denemek zorunda kalacak ve şifreleri olarak kullanılan düzenli kelimeleri engel yoksa, iki harf kombinasyonlarını yasaklayan hiçbir nokta yoktur.

Kullanıcının istediği herhangi bir şifre alalım. Bir şifre gücü ölçer koymak, ancak parolayı kısıtlamak değil. Bu onların, şifreniz değil.