html - 为什么在密码中使用特殊字符被认为是强密码？

Question

为什么任何强密码都需要特殊字符？

有些网站要求输入特殊字符作为创建密码的必填项。

这背后有什么技术原因吗？

Answer 1

当然。解释起来很长，超出了我的能力范围，所以你需要阅读 Entropy in Information Theory 的概念。 .来自 Wikipedia 的更简单的解释:

人工生成的密码

众所周知，人们在获得足够的熵来生成令人满意的密码方面表现不佳。一些舞台魔术师通过占卜观众做出的假设随机选择(例如，数字)来利用这种无能来娱乐。

因此，在对超过 300 万个八字符密码的分析中，字母“e”被使用了超过 150 万次，而字母“f”仅被使用了 250,000 次。均匀分布会使每个字符被使用大约 900,000 次。最常用的数字是“1”，而最常用的字母是 a、e、o 和 r。

用户很少充分利用较大的字符集来构成密码。例如，2006 年从 MySpace 网络钓鱼计划中获得的黑客攻击结果显示了 34,000 个密码，其中只有 8.3% 使用大小写、数字和符号混合。

请注意，只有在密码中的每个字符都是随机选择的情况下，才能实现与使用整个 ASCII 字符集(数字、混合大小写字母和特殊字符)相关的全部强度。将字母大写并在密码中添加一个或两个数字和一个特殊字符不会达到相同的强度。如果数字和特殊字符以可预测的方式添加，比如在密码的开头和结尾，与相同长度的全字母随 secret 码相比，它们甚至可以降低密码强度。 NIST特刊 800-63

2004 年 6 月的 NIST 特别出版物 800-63 建议使用以下方案来粗略估计人类生成的密码的熵:2

The entropy of the first character is four bits;
The entropy of the next seven characters are two bits per character;
The ninth through the twentieth character has 1.5 bits of entropy per character;
Characters 21 and above have one bit of entropy per character.
A "bonus" of six bits is added if both upper case letters and non-alphabetic characters are used.
A "bonus" of six bits is added for passwords of length 1 through 19 characters following an extensive dictionary check to ensure the password is not contained within a large dictionary. Passwords of 20 characters or more do not receive this bonus because it is assumed they are pass-phrases consisting of multiple dictionary words.

使用此方案，一个不含大写字母和非字母字符的八字符人工选择密码估计具有 18 位熵。 NIST 出版物承认，在开发时，几乎没有关于现实世界密码选择的信息。

后来使用最新可用的现实世界数据对人类选择的密码熵进行的研究表明，NIST 方案没有为人类选择的密码的熵估计提供有效的度量。可用性和实现​​注意事项

由于不同国家的键盘实现方式不同，并非所有 94 个 ASCII 可打印字符都可以在任何地方使用。这可能会给希望使用本地计算机上的键盘登录远程系统的国际旅行者带来问题。请参阅键盘布局。许多手持设备，例如平板电脑和智能手机，需要复杂的移位序列来输入特殊字符。

身份验证程序因允许在密码中使用的字符而异。有些不识别大小写差异(例如，大写“E”被认为等同于小写“e”)，其他一些则禁止使用其他一些符号。在过去的几十年里，系统允许密码中包含更多字符，但限制仍然存在。系统允许的最大密码长度也不同。

---

或者，用外行的话来说:对于您在字母数字选项上添加的每个额外字节，您都会使密码更加复杂且难以破解。

更多信息 here