本帖最后由 danielhcln 于 2012-5-27 20:33 编辑
密碼越長就越容易被盜號.這看似很不合理.可是其實是事實.
很多人認為密碼都長到自己也不太記得了.別人還怎麼會知道呢.其實這是走進了一個誤區.
密碼應該是越複雜越好.而不是越長越好.為甚麼呢.我們先來分析一下為甚麼一般會認為密碼越長越安全.
認為密碼越長越安全.主要是因為密碼越長.對應的組合就越多.那麼別人猜中的概率就越少了.因此就覺得密碼越長就越安全了.可是事實上.其實我們都清楚的知道一個事實.
那個盜號的人會真的和你逐個組合試直到試對啊.
現在的網站都不會讓你無限的對一個帳號嘗試密碼.也就大約五次機會吧了.即使密碼只有一個字能夠試中的概率也遠比不中的概率少.要真是這樣的話也不會有人想要盜號了.
然後要說盜號是怎樣執行的話.其實我們大概都知道是由於主機有木馬啊或是網絡被監聽甚麼的.密碼越長越客易被盜號其實在於網絡在被監聽的情況.
為甚麼會有這樣的情況呢.主要是因為網絡傳輸時對每個傳輸包的長度是有限的.因此若果密碼真的太長的話.可能會導致密碼被分成幾次傳輸.然後我們再來看網絡監聽盜號的原理.網絡監聽執行的時候的多數不會是監聽一部主機.而是一個路由.主要用來收集數據並分析.在系統自動操作的情況下,監聽時很多時候都不知道監聽到的數據的意義.很多時候在系統超時後或緩沖區滿後就會把數據丟棄了.
現在我們來看一下密碼在比較短和比較長時會發生的狀況.若密碼足夠短,在一般情況下都能在一個數據包下被發送出去.這數據包在路由器端上被補捉到了.但算法不知道這數據包的實質意義.因此先暫時保留在緩沖區中.等待後續數據的提示.然後在一段時間後數據包被傳到登錄端.登錄端算法通常都會考慮到保護客戶的安全.因此在一段足夠長的時間後再回傳成功狀態.這時監聽端通常已經超時或者已經再換過一批數據了.因為路由器的流量很大.因此短密碼通常會比較安全.
而在同樣的情況下.若分成多個數據包來傳送密碼.監聽端在捕捉到第二個密碼數據包的時候,判斷到這是一段長文字.因此重置計時器並等待回答.而登錄端在收到密碼後.雖然仍然在一段足夠長的時間後才回複確認.但這時監聽端仍然在保留數據,並根據確認判斷出這是有用的信息.密碼就這樣被知道了.
而除了網絡監聽可能導致的結果外,其實長密碼還有一個原因會導致最壞的結果.在登錄端保存的永遠不會是原來你所設定的密碼.而是經由算法計算出來的密鑰.而由於系統開銷的關係.這段密鑰是等長的.即無論你密碼的長短.最後保留在服務器的密鑰長度是一樣的.因此.密鑰與密碼的關係其實並不是一一對應.而且,密碼越長,對應密鑰所對應的密碼可能就越多.舉個比較極端的例來說,若一個密鑰有16位,而你密碼有100位的話,事實上這個密鑰可能對應於任何一個100位長度的密碼.
因此.密碼越長的話越容易被盜號.雖然看似不合理.可是卻是徹徹底底的真實.所以,不要在記住又長又不靠譜的密碼了.想過短而亂序的密碼才是王道啊.
P.S.以上言論絕對沒有科學根據.只是一個在期未狂啃計算機網絡的人的看着那一大堆名詞的胡言亂語而已.
|