沒有任何技術上的理由,密碼不能包含中文、日文、韓文或任何其他語言的字符。如果能夠使用這種字符,那麼在任何活動中使用它都是完全合適的。
然而,如果將這一理論付諸實驗,會發現許多網站,包括像 Google 這樣的知名網站,會阻止輸入包含非 A-Z、0-9 和常見特殊字符的密碼。
這讓人想起互聯網的早期,有些網站禁止使用大寫字母,並無理由地禁止使用拉丁字母。
包含中文字符的密碼問題
用戶通常使用超過 30 個字符的密碼,包含所有通常建議的各種字符類型,並隨機生成。如果使用密碼管理器,應該將密碼設置得盡可能困難和冗長。
然而,如果訪問超過 150 個網站並每次更改密碼,會發現許多網站的密碼規則不僅沒有提高安全性,反而降低了安全性。這是因為這些規則旨在保護用戶免受自身的傷害。
例如,一些網站對密碼的最大長度施加任意限制。通常要求密碼少於 20 個字符,在某些情況下,最多只能使用 12 個字符。
儘管這會使密碼的安全性降低,但某些網站要求必須包含數字和特殊字符。這是因為這樣做會降低密碼的熵。在其他頁面上,可能僅限於使用拉丁字母;數字和標點符號不被允許。在某些網站上,可以使用標點符號,但必須先從下拉菜單中選擇,並且像 “&” 這樣的字符不被允許。
這一最後一點應該引起重視。這些網站能否在將密碼插入數據庫之前進行清理?數據庫不應以任何方式存儲密碼。我很好奇這在考慮到嚴重的隱私洩露時,這種情況發生了多少次。必須在保存之前對密碼進行哈希處理。
無論如何,所有這些的最終結果是,許多網站仍然以錯誤的方式驗證密碼,排除了應該完全允許的字符。沒有合理的理由為什麼 “您未设置安保问题” 不能作為密碼。
這樣的密碼有多安全?
熵是一個用來描述破解密碼的難度和密碼本身複雜性的術語。在接下來的段落中,我們將探討如何計算密碼的熵。
如果擴展字符集,涵蓋所有從 a 到 Z 的字符、0 到 9 的數字、標點符號等,那麼我們有 90 個字符的池。這導致每個字符的熵為 log2(90),相當於 6.49 位。如果另一方面,擴展字符池以包括所有中文、日文和韓文 (CJK) 字符(假設字符池有 74,605 個字符),則可以計算每個字符的熵為 log2 (74605) = 16.19 位的熵。
因此,像 “正确的马电池钉” 這樣的 7 個字符的 CJK 密碼將給出 16.19 位的熵乘以 7,總共等於 113.33 位。如果想用拉丁字母、數字和特殊字符來匹配這一點,則需要一個由 18 個字符組成的密碼。
絕大多數人不懂中文。他們決定不在密碼中使用任何包含 CJK 的字符。另一方面,複雜密碼的有效性可比擬於疫苗接種,因為它提供了群體免疫。如果人們僅使用包含這些字母的密碼,破解者將僅基於字母 az 進行暴力破解或字典攻擊。如果人們習慣使用數字和標點符號,則迫使攻擊者將這些元素納入其詞彙,從而減緩攻擊。攻擊者需要嘗試所有這些額外的可能組合,無論您的密碼是否使用了它們。
由於大約三分之一的全球人口能夠讀寫 CJK 字符(中國和日本的人口龐大),如果允許人們在密碼中使用 CJK 字符,即使我自己不使用 CJK 字符,我們也可以受益於這一增加的複雜性。
重申一下,無需了解中文即可使用 CJK 字符。可以像之前建議的那樣,使用密碼管理器來跟踪所有密碼。無論是否能讀寫密碼,只要密碼管理器能夠保存並在需要時準確地複製和粘貼到密碼框中即可。
在其他網站上設置的密碼可能會稍有不同,這使得它們更容易記住,並防止出現相同的問題。在這種情況下,連接手機號碼或電子郵件地址是至關重要的,以便在手機號碼丟失或被盜時能夠輕鬆恢復帳戶。
另一方面,許多人認為密碼已經過時,現在有更有效的方法來處理計算機安全和身份驗證,而不是使用密碼。也許現在是人們開始轉向其他方法的時候。未來不久,我們將會知道。
日本電話卡推介 / 韓國電話卡推介
一㩒即做:香港網速測試 SpeedTest HK
