很久很久以前,密码只要6个字符就可以了,后来强制要求必须带数字,在后来要求8字符+,再后来就是要求大小写+数字,到现在密码设置规则越来越奇葩了,字母、数字、大写还不够,你还要加上特殊字符,美其名曰提升密码强度?
其实这提升的只是密码的记忆难度罢了,在思维惯性下把记忆难度当作了密码强度。
那么密码强度衡量标准是什么?其实就是破解密码时,在密码规则内,穷举所需要的次数,再取次数的lb(以2为底)对数,单位比特。其实这就是我们经常所说的 128(比特)位加密,128(比特)位加密。大家都知道128比特位以上的密码,在不存在漏洞的情况下是不可能被穷举破解的。大家需要注意的是,多1比特位,密码强度就会提升一倍。
密码强度计算公式=n*lb(N),n:密码长度,N:密码可能用到字符的种数
常见密码规则的密码强度:
密码规则 | 单字符强度(比特位) | 128比特位所需字符数 |
---|---|---|
0~9 | ≈3.3 | ≈38.5 |
a~z | ≈4.7 | ≈27.2 |
0~9、a~z | ≈5.17 | ≈24.7 |
0~9、a~z、A~Z | ≈6 | ≈21.5 |
键盘所有可打印字符 | ≈6.57 | ≈19.5 |
字节(0-255) | 8 | 16 |
从上表可以知道,强制要求有特殊字符提升密码强度并不明显,12个全打印字符密码相当于13个字母加数字的密码,但是前者的记忆难度却提升了不知多少个数量级。所以选择复杂的字符作为密码是件吃力不讨好的实情,增加密码的长度比选择复杂字符密码更能提升密码的强度。
因此,各位前端开发者,可以根据用户的喜好设计密码规则,假设要达到10打印字符强度(约66)位,可以让用户选择10字符以上的含特殊字符的密码,或者11字符以上的大小写字母+数字密码,或者13字符以上的小写字母+数字的密码。毕竟用户忘记密码重置密码带来的风险也是不可忽视的。