关于口令强度等级的设计

关于口令强度等级的设计

近来在笔者所参与的一款产品中涉及到口令安全的功能设计，其中一项功能是有关于口令强度的。在设计该功能过程中势必涉及到口令强度的划分设计，怎样的口令才算是低强度的，怎样的口令才算是高强度的。目前诸多的Web系统注册功能中的口令强度设计及划分也无统一标准，更有甚者是直接根据口令长度来设计的口令强度划分。


如果要评判一则口令是强是弱，就必须先考虑影响口令强度的因素：复杂性和长度，因为我们在输入口令时只有这两种维度的选择：要么多输入一些特殊字符增强复杂性，要么多输入一些混合字符/字母增加口令长度。在不考虑拖库、社工等口令获取方式的前提条件下，通常情况下，破解口令仅有暴力破解的方式可以选择，其中亦包括字典攻击和彩虹表破解。


在纯粹的暴力破解中，攻击者需要逐一长度地尝试口令可能组合的方式，是ATM机般的纯数字组合，还是12306般的纯数字字母组合，亦或是正常电商那般可以混合输入数字、字母和特殊字符。假设一则口令P的长度是L，可选择的组合形式范围的长度是S，那么即便是在“暴力破解”这种残暴字眼的手段中，运气不好的情况下仍然需要最多尝试SL次。口令是否安全的原则取决于攻击者能否在可容忍的时间内破解出真实口令，而是否有耐心进行暴力破解往往决定于攻击者的目的及成效：一名仅为破解电子书小说压缩包的宅男不大可能会浪费一天以上时间等待口令的“出现”。


既然暴力破解需要尝试最多达SL次方能破解出口令，那么破解口令的速度即是破解成效的约束条件。在许多情况下，破解速度取决于CPU运算的能力，但更多时候攻击者面临的是联网破解甚至口令系统设计者的种种防护手段，这时网络、I/O、运算能力甚至系统防护措施都必须考虑在破解速度之内。如今许多电子邮箱的防口令破解的措施是限制在一段时间内仅能尝试为数不多的几