我們使用密碼來訪問個人信息和帳戶。有這么多需要密碼的應用程序，可能很難跟蹤，更糟的是它會被應用程序記住。某些應用程序要求用戶經常更改密碼，這可能導致用戶忘記密碼或在一張紙上寫下密碼。那張紙稍后就不知道放在那里，這也將會導致密碼丟失。因此需要頻繁更改密碼，并將密碼設置的更復雜。密碼由字符串組成，可以包含字母，數字和特殊字符。以下分析將分解有效性和數據結構。

1.歐洲語言的大寫字母（A 通過 Z，帶有變音符號，希臘語和西里爾字母）

2.歐洲語言的小寫字母（a 通過 z，sharp-s，帶有變音符號，希臘和西里爾字母）

3.以10為基數的數字（0 通過 9）

4.非字母數字字符：（~!@#$%^&*_-+=`|(){}[]:;"'<>,.?/）。在此政策設置中，歐元或英鎊的貨幣符號不算作特殊字符。

5.任何分類為字母字符但不是大寫或小寫的Unicode字符。這包括來自亞洲語言的Unicode字符。

到目前為止，這是對可用于密碼的內容的理解。例如，名為“ jsmith ” 的用戶可以創建密碼“ One4all&AllFOR1”。

　　密碼無處不在

密碼旨在確保互連的在線世界中的安全。Internet已與其他人建立聯系以進行通信，交易和共享信息，但不幸的是Internet沒有內置安全層。

這需要第三方實現，在這種實現中，沒有統一的方法可以僅從一個位置登錄并訪問任何站點而無需輸入另一個密碼。在像Google或Microsoft這樣的特定公司的生態系統中，這是可能的，但是當您要訪問另一家公司的服務時，就沒有互操作性或共享安全信息以允許訪問。

盡管有一些方法允許使用Oath協議之類的訪問委派標準，但仍然沒有通用的“一次登錄并永久訪問所有內容”的系統。

作為用戶，您可能在線擁有多個帳戶。一個或多個用于銀行，社交媒體，支付，電子郵件和組協作。建議您為每個密碼使用不同的密碼。其他人僅對他們的所有在線帳戶使用一個密碼。

兩者都有一個問題。當您需要記住這么多密碼時，除非您記下密碼或使用密碼管理器，否則很容易忘記。不幸的是，并非每個人都使用密碼管理器，因此他們可能經常不得不從網站上恢復密碼。當您僅對所有帳戶使用一個密碼時，如果該密碼被黑客破解，則可以訪問您的所有在線信息。

　　加密通道和散列

IT部門的安全分析師意識到，明文密碼并不安全。還需要更安全地存儲密碼，以防止篡改。在數據網絡的早期，密碼在傳輸過程中也不安全。這將使黑客能夠輕松地使用所謂的數據包嗅探器 來分析包含明文密碼的數據包。這是一個需要解決的關鍵問題。

解決方案是使用加密和散列來應用加密方法。用戶和服務器之間的通信通道將使用HTTPS / TLS / SSL協議進行加密，以實現安全通信。

這將使黑客更難于竊聽網絡上的數據，因為現在將對其進行加密。密碼也不會顯示為明文。現在，它經歷了散列功能以創建原始密碼的摘要。

這僅是一種單向功能，因此黑客很難破解密碼。這將需要進行昂貴的字典攻擊，但是哈希值本身可能需要數年才能解決被哈希的原始密碼。

例如，如果我們使用示例密碼“ One4all&AllFOR1”并應用SHA256哈希函數，結果將是：

27ACE4452635B4AFDA20E3A89255832CF8A247DB46EA72A24B1EDCB0BD8D3E9D

然后將其存儲在密碼表中，不再使用明文格式。如果黑客要獲取該密碼表，那么他們破解密碼就不容易了。

這些措施增加了保護系統的安全性。但是，它仍然不能阻止對系統的攻擊。原因與密碼有關。

　　蠻力攻擊

密碼雖然提供了一層安全保護，但卻不能防黑客。它只需要一個人做出聰明的猜測就可以訪問用戶的個人電子郵件帳戶。

該接口是公開的，任何人都可以登錄用戶名和密碼。只要允許使用稱為“蠻力攻擊”的技術來知道用戶名，任何想要入侵的人都可以輕松猜出該用戶的密碼。

這也稱為“字典式攻擊”，因為攻擊者可以使用密碼列表，例如在字典中查找單詞。這是安全系統不太復雜時的最早攻擊形式之一。為了阻止這種情況，系統管理員對一定數量的失敗登錄嘗試實施了用戶帳戶鎖定。

這可以防止使用暴力手段，但由于現在他們的帳戶已被鎖定，因此還會影響實際用戶。這將帶來不便，因為它需要與系統管理員聯系以解鎖其帳戶。

如果系統管理員不可用或在半夜沒人值班怎么辦?這樣可以防止用戶登錄并進入重要工作。

IT經理已對這些問題做出了更快的反應。現在有解決這些問題的安全合規性策略。始終應該有一個備份管理員值班，特別是對于全天候運行的企業操作。

通過此設置，工作人員將始終具有重置密碼或解鎖帳戶的技術支持。就像安全系統已經更新以應對新威脅一樣，攻擊的類型也變得越來越復雜以挫敗這些措施。密碼需要變得更加復雜且不容易被猜中。這導致IT經理實施密碼策略。

　　密碼復雜度

現在，對于具有公共界面的站點以及對于使用登錄屏幕的任何應用程序的最佳做法，都必須實現密碼復雜性。過去，許多用戶很粗心，并使用“密碼”作為密碼。

當然，這很容易被黑客竊取，甚至激起了想要成為黑客的自尊心。這是一種簡單的攻擊，不需要破解一個非常困難的密碼，而這需要花費一些時間才能完成。

系統管理員將這些策略作為操作系統自身功能的一部分(例如Windows Server)實施，并且開發人員為其應用程序使用了類似的設計。由于密碼復雜，用戶將無法使用以下某些類型的密碼：

·名或姓

·密碼

·以前的密碼

·僅限所有數字或字符

·所有小寫或大寫

·常用詞

密碼復雜性的使用可防止用戶使用類似 'password' 要么 'internet'。各個公司的復雜性規則會有所不同，但是此示例可以說明如何定義一個策略。

·最少8個字符

·大寫和小寫的混合

·字母數字和非字母數字字符的混合

回到我們的用戶“ jsmith”的示例，密碼“ One4all&AllFOR1”可以被視為符合該策略。它使用至少8個字符，混合使用字母數字和非字母數字字符以及大小寫字符。

當管理員要求更改密碼以執行策略時，情況將變得更加復雜。這意味著，讓我們說3個月后密碼會過期。這將要求用戶創建一個新密碼才能登錄，這可能會很忙，甚至沒有用，因為用戶將需要記住一個新密碼。

它沒有成為解決方案的一部分，而是帶來了一些新問題。許多公司不使用這種類型的強制執行，但其他公司也可以使用。

使用復雜性的密碼策略是好的，因為它們可以迫使用戶使用強密碼而不是弱密碼。即使密碼很復雜，它仍然不能使系統完全安全。它只是增加了另一層。

用戶可以共享密碼，甚至將其寫下來以供日后被盜。幸運的猜想仍然可以吸引黑客。看來問題仍然在于密碼本身。

　　更強的密碼

有一種方法可以通過滿足分析其熵或破解密碼的難度來增強密碼的安全性。此難度取決于密碼長度中的位數。

　　可以在以下公式中顯示：

·log(C) / log(2) * L

·C =字符集的大小

·L =密碼的長度

1.從數學上講，密碼的長度比所使用的字符集的復雜度指數重要。

2.任何復雜性規則實際上都會增加密碼被破解的能力。

字符集是指可用于密碼的字符總數。在美國，以下是可以使用的字母數字和非字母數字字符的總共可能的類型：

·數字：0-9

·高位Alpha：A-Z

·下阿爾法：a-z

·特殊的角色：` ~ ! @ # $ % ^ & * ( ) _ + - = { } | [ ] : " ; ' < > ? , . /

我們的數字有10個字符，大寫和小寫字母有26個字符，特殊字符有32個字符。我們將所有內容加起來為10 + 26 + 26 + 32 = 94個字符。因此，根據觀察結果1，密碼長度比僅使用的字符集更難破解。

密碼強度更高的關鍵在于長度和復雜性的結合。即使需要數天，數周或數月的時間，密碼仍然可以被破解，但是這一安全層增加了黑客花費的時間。最終，安全專家還需要提出更智能的身份驗證方法。

更智能的身份驗證方法

身份驗證方法正在實施更好的安全技術來阻止黑客。通過組合不同的方法，其目的是使系統更安全地抵抗攻擊。不僅要求用戶輸入密碼，還將要求其他信息。

這導致了“多因素身份驗證”或“兩因素身份驗證”的開發，以提高安全性。這樣可以啟用只有用戶喜歡的智能手機號碼等其他信息才能進行身份驗證。使用MFA，它還包括使用生物識別信息，例如指紋或視網膜掃描。

所有這些都增加了安全性，但是如果密碼丟失或忘記了則無濟于事。人們仍然需要記住密碼才能完成身份驗證。

使用MFA，可以使用三種方法進行身份驗證。

1. 您知道的這是您的密碼。驗證用戶身份的第一層安全性。

2. 您所擁有的您的智能手機或計算機。使用智能手機號碼，系統可以通過短信發送回一個代碼供用戶輸入。在計算機上，可以創建一個安全令牌，該令牌使用一個身份驗證提供程序來生成用戶可以輸入的代碼。

3. 您是誰有關用戶的生物識別信息，例如指紋，面部識別或視網膜掃描。如果存在可以獲取有關用戶信息的傳感器，則可以使用第三種方法。這是在智能手機指紋讀取器上實現的。

即使密碼被猜測，使用這種不同的身份驗證方法也可能阻止黑客。然后，黑客將不得不對用戶的智能手機或計算機進行物理訪問，或者只有實際用戶的手指。

這仍然不是安全的頂峰。可以使用另一種方法來驗證用戶的真實身份。

　　區塊鏈

對于 身份驗證，區塊鏈可以結合2FA或MFA提供另一層安全性。這是一個值得商topic的話題，因為區塊鏈技術仍是相當新的技術，并且沒有其他系統那么多的記錄。

它的優勢在于能夠使用所謂的Merkle證明快速驗證數據。這是不可否認的已驗證信息記錄，該記錄基于具有可跟蹤根的哈希值。

這種類型的系統的優勢在于身份驗證。假設用戶“ jsmith”聲稱是“ John Smith”。基于區塊鏈的系統會在數字總賬上創建加密安全記錄，以此證明這一點。

該記錄也是透明的，不能修改或刪除。當作為驗證系統的一部分實施時，可以使用共識機制來完成。例如，假設用戶已通過2FA，則區塊鏈現在會驗證用戶的身份。

網絡上的節點將基于用戶的臉部或指紋來驗證是否正確輸入了此信息。如果用戶信息與系統知道的信息不匹配，則訪問將被拒絕。

如果黑客要通過MFA，則由于身份要求驗證，因此區塊鏈可以阻止其訪問。對于區塊鏈，您具有執行驗證的獨立節點。

讓獨立節點執行驗證的好處是，它不在一個可以影響的實體下。它的目的是在沒有人做出絕對決定的不信任環境中下放權力。必須進行集體努力，才能在大多數節點之間達成共識。

這是值得信賴和有效的嗎？用幾句話不容易解釋它，但是這里的想法是要建立一個驗證系統，作為對身份驗證的最后手段。我不會在這個話題上做任何進一步的介紹，因為這只是理論上的，而不是實際的應用。

技術在不斷發展，當需要使用不需要密碼的不同身份驗證方法時，目前我們仍然需要密碼。密碼重要的是使密碼復雜而又長。

如今8個字符實在太簡單了，因為黑客在學習新技術時其方法變得更加復雜。下次IT經理考慮安全性時，添加MFA等其他層在保護用戶方面非常有意義。目前，只要有系統要求使用密碼，便會繼續使用密碼。

上述就是關于密碼安全性和驗證方法的全部內容介紹，想了解更多關于密碼安全性和驗證方法的信息，請繼續關注中培偉業。