安全专家建议创建强大、复杂的密码,以保护我们的在线帐户和数据免受精明的网络犯罪分子的侵害。 “复杂”通常意味着使用小写和大写字符、数字,甚至特殊符号。但是,根据安全公司 Hive Systems 的研究,如果密码没有包含足够的字符,复杂性本身仍然可能导致密码被破解。
在本文中,我们将研究黑客破解不同类型的密码需要多长时间,以及如何提高密码的安全性。
破解密码需要多长时间?在他们的2024 Hive 系统密码表报告,Hive 发现,如果攻击者使用顶级 12 x RTX 4090 显卡,则包含数字、符号以及大小写字母的复杂八字符密码将需要七年时间才能破解。
相比之下,只有大小写字母的五个字符的密码可以在两分钟内破解。此外,Hive 表示,只有小写字母的四字符密码可以立即被破解,而同时包含大小写字母的五字符密码可以在三秒内被破解。
2024 年 Hive 系统密码表。图片:Hive 系统在我看来,这表明应用密码最佳实践(例如尽可能混合使用字母、符号和数字)是多么重要。尤其如此,因为密码的复杂性不同,破解所需的时间形成鲜明对比。
从好的方面来说,根据 Hive 的研究,即使是具有更多字符的简单密码也不太容易在短时间内被破解。例如,由数字组成的 10 个字符的密码需要 1 小时才能破解。同时,将纯数字密码增加到 18 个字符将使时间范围增加到 11,000 年。
通过比较单词与数字,Hive 的数据显示密码短语胜过更传统的密码。仅包含数字的 18 个字符的密码需要 11,000 年才能破解,而相同数量的小写字母密码则需要 3500 亿年才能破解。这段数据说明了为什么使用一长串真实但随机的单词的密码比复杂但简短的密码更安全。
Hive 的报告显示,由 18 个大小写字母、数字和符号混合而成的密码是最难暴力破解的。
黑客使用什么工具来破解您的密码?想要足够快地破解复杂而简短的密码的黑客需要最新、最先进的图形处理技术。图形处理单元越强大,执行挖掘加密货币和破解密码等任务的速度就越快。
借助这些 GPU,黑客可以发起暴力攻击并使用密码破解软件来猜测您的密码和其他凭据。暴力攻击涉及使用 GPU 和机器驱动的反复试验,试图获得字符、数字和符号的正确组合,并最终破解用户的密码。
例如,当今最顶级的 GPU 之一是 Nvidia 的 GeForce RTX 4090,该产品的起价为 1,599 美元。但即使功能较弱、成本较低的 GPU 也可以在相对较短的时间内破解长度较短、复杂性较低的密码。
Hive 表示,计算机上没有最新、最好的图形处理功能的黑客可以轻松转向云。通过通过亚马逊 AWS 和其他云提供商租用计算机和图形硬件,网络犯罪分子可以利用强大 GPU 的多个虚拟实例,以相当低的成本执行密码破解。
另外,为黑客提供了另一种更快速、更有效地破解密码的工具。一个Home Security Heroes 2023 年 4 月报告分析了 15,600,000 个常见密码后发现,通过使用人工智能,黑客可以在不到一个月的时间内破解其中 81% 的密码,在不到一天的时间内破解 71% 的密码,在不到一小时的时间内破解 65% 的密码,在不到一分钟的时间内破解 51% 的密码。
看:(科技共和国高级版)
如何保护您自己和您的组织免遭密码破解由于图形和人工智能技术的进步,大多数类型的密码需要比两年前更少的时间来破解。例如,包含字母、数字和符号的七个字符的密码在 2020 年需要 7 分钟才能破解,但在 2023 年只需 4 秒。鉴于这些技术进步,您和您的组织如何更好地保护受密码保护的帐户和数据?这里有一些提示。
尝试使用密码而不是密码一个是一长串通常是随机的单词。密码短语通常比密码更安全,并且通常更容易记住。例如“日落可乐老鼠!”或“GatePen2BoxerRose”。
如果您采用密码短语路线,则需要记住以下几点:
确保它至少有 10-15 个字符或更多。避免使用常用短语或歌词。选择一个您好记的密码。在您的短语中添加一些数字和符号。如需更深入的教程,请查看我们的。
同时使用数字、符号、大写和小写字母的混合Hive Systems 报告的主要结论之一是复杂性对整体密码强度的重大影响。我所说的复杂性是指密码中存在的字母(大写和小写)、符号和数字。
虽然使用一种字符类型可以使您的密码更加安全,但混合使用所有字符类型将为您带来最大的好处和安全性。
使用密码管理器由于您自己不可能创建和记住多个复杂且冗长的密码,因此密码管理器是您的最佳选择。通过使用对于您自己或您的组织内部,您可以为网站和在线帐户生成、存储和应用强密码。
值得尝试的密码管理器1密码图片:1密码如果您想要一个具有精致用户界面的密码管理器,我推荐 1Password。 1Password 拥有直观且设计精良的桌面应用程序,可以让初学者和更高级的用户轻松组织密码。
最重要的是,他们的基本 1Password 订阅包括各种附加安全功能,例如 Watchtower 数据泄露扫描器以及安全密码共享和历史记录功能。它还经过第三方公司的独立审核,确保它不会按照无日志政策的规定记录任何用户信息。
要了解更多信息,请查看我们的。
比特沃登图片:Bitwarden对于隐私爱好者来说,Bitwarden 是我的首选。它是一个开源密码管理器,其源代码可供公开审查。这意味着客户和感兴趣的各方可以查看 Bitwarden 的代码并自行发现漏洞——提供一层透明性,这对于处理密码的服务至关重要。它还拥有市场上最慷慨的免费计划之一,允许免费用户通过无限数量的设备存储无限数量的密码。
要了解更多信息,请查看我们的。
守护者图片:守护者如果您想要一个更加以业务为中心的密码管理器,请考虑 Keeper。根据他们的业务计划,您可以通过他们的管理控制台、团队管理功能以及策略引擎和强制执行功能来管理团队的凭据。他们的企业计划具有更多与团队相关的功能,例如 AD 和 LDAP 同步以及 SAML 2.0 身份验证。我特别喜欢 Keeper 的内置文件夹和子文件夹系统,可以更清晰地管理跨团队和帐户的登录凭据。
要了解更多信息,请查看我们的。
本文最初发表于 2023 年 8 月。由 Luis Millares 于 2025 年 1 月更新。