首页
学习
活动
专区
圈层
工具
发布
首页
学习
活动
专区
圈层
工具
MCP广场
社区首页 >问答首页 >如果限制尝试次数,短密码如何不安全?

如果限制尝试次数,短密码如何不安全?
EN

Security用户
提问于 2019-12-21 10:03:20
回答 2查看 7.3K关注 0票数 32

在所有需要密码的web服务上,比如gmail,都要求您设置一个长密码。像8个字符或更多字符。

原因是安全性更高。

但是同样的服务限制了在锁定帐户和询问更多信息之前尝试3-4次登录的次数。一些我觉得很烦人的事情,但这是另一个话题。

那么,如果短密码限制登录尝试,那么它们是如何不安全的呢?如果密码有5个字符,有人就不能在3次尝试中尝试所有组合。

EN

回答 2

Security用户

发布于 2019-12-21 13:33:23

密码需要长而随机(即高熵)的主要原因是为了防止离线暴力攻击。

密码通常不以纯文本形式存储。相反,他们是散列。如果有人用散列密码(这是令人惊讶的普遍)窃取数据库,他们就不能直接读取密码。相反,他们必须尝试加载和加载密码,以找到一个与哈希匹配的密码。由于密码哈希已被窃取,这可以在攻击者的机器上完成,而不是通过网站本身(因此离线攻击)。这意味着对网页重试的任何限制都不适用。

长而随机的密码需要更多的猜测,因此即使数据库被盗,密码也更难破解。这就是他们在网上受到鼓励的原因。

票数 75
EN

Security用户

发布于 2019-12-21 10:18:06

以防止“密码喷洒”,当有人尝试一个共同的密码对许多帐户。

票数 9
EN
页面原文内容由Security提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:

https://security.stackexchange.com/questions/223075

复制
相关文章

相似问题

领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档