Bu gerçekten @ Brian'ın akıllı cevabına bir zeyilname. Ayrıca eski parolaları geçerli olana dayanarak zorla kullanmanın zorluğuyla ilgili ayrıntılar eklemek için @Martijn Pieters'a ve "hamming mesafe" için @ cırcır kafasına da hitap eder. Cevabımı silmiyorum çünkü onları desteklemenin ilginç bir geçmişini düşünüyorum.
Son teknoloji parola depolaması, her kullanıcı için benzersiz tuzlu (128-bit +) güçlü bir tek yönlü şifreleme karma (SHA-512 +) çoklu turlarının kullanılmasını gerektirir. Ancak her şifre hakkında ek bilgi saklamak için cazip olmayın. Her bir şifre hakkında ne kadar fazla bilgi depolarsanız, karma algoritmanızın güvenliğini o kadar zayıflarsınız.
Örnek
Bir şifreyi zorla zorlamanın ne kadar kolay olduğunu düşünün:
- 7 karakter uzunluğunda
- Karakter 3-5, büyük harf (4 küçük)
- 1 ve 7, sayıdır
- 6 bir semboldür
Bir ABD klavyesinde yazdırılabilir 95 karakter vardır, bu nedenle parolanın 7 karakter uzunluğunda olduğunu bilmek 95 ^ 7 = 69,833,729,610,000 = 7x10 ^ 13 permütasyondur. Gerçekten rastgele olsaydı, bunu tek bir 3GHz işlemcide kırmak bir yıl alabilir. Fakat:
- Yalnızca 26 büyük harf ve 26 küçük harf karakteri vardır
- Bu iki sayı için 100 olasılık veren sadece 10 rakam var.
- Sadece 32 sembol var
Yani (@Hellion sayesinde düzeltildi):
26^4 (charcters 2-5 are known upper or lower-case)
x 100 (characters 1 & 7 are digits)
x 32 (character 6 is a symbol)
====
1,462,323,200 possible passwords.
Çatlaması 50.000 kat daha kolay! Bu durumda benzer şifreleri önlemek için iyi bilgi depolamak bir yıldan birkaç saate kadar 7 karakterli bir şifre için çatlak sürenizi aldı. Tüm şifrelerinizin şifresini çözerek, güçlü bir çok işlemcili masaüstünde, iyi bir ekran kartına ve biraz sabrına sahip olmak artık çok kolay. Umarım bu basit örnek, benzer şifreleri ne kadar anlamlı bir şekilde karşılaştırabileceğinizi gösterir, hash değeriniz o kadar az güvende olur.
Güçlü Hashing'in Önemi
Şifreli veri tabanları düzenli olarak çalınır, her ay haberlerde büyük miktarda parçalanır. Heck, daha geçen ay SC'nin durumu herkesin sosyal güvenlik numaralarını kaybetti - ayy! Bu ihlallerin kaç tanesini kapsıyor?
Kapanış Düşüncesi
Benim için en korkutucu şey, insanların birden fazla site için aynı veya benzer şifreyi seçmesidir. Bu durumu önlemenin kanıtlanmış bir yöntemini görmek isterdim, ancak en yaygın kötü şifreleri önlemenin tek bir kullanıcının aynı sitedeki kötü şifrelerini tekrar kullanmasını önlemekten daha fazla yardımcı olacağını düşünüyorum. Önerebileceğim en iyi, her bir kullanıcı için oldukça rasgele şifreler üreten ve bunları güvenli bir şekilde saklayan güvenli bir şifre yöneticisi kullanmak için şirket genelinde bir politikadır.