是否需要兩個或多個密碼才能提高安全性？

Question

我不是一個統計學家，所以我不知道這個數學，而是採取這兩種情況：

一個16字符的密碼：

Password: XXnrKkO4`AM&U$6D 

或

兩個8字符密碼：

Password 1: u/wyk<}U 
Password 2: hc]KpL3C 

我已經看到一些使用兩個密碼佈局的高安全性需求的網站（即：銀行），但是它增加了多少安全性？

Answer 1

銀行不正常（除非他們有愚蠢的安全政策，以及他們幾個做）要求被同等對待兩個密碼。

一家銀行，我有，匯豐銀行採用雙因素認證。他們要求我的賬戶密碼（「我知道的東西」）以及由一個密鑰卡（「我擁有的東西」）生成的一次性密碼。這有助於防止單因素身份驗證的兩個弱點：「橡膠軟管密碼術」（有人在我身邊跳過我的密碼，但他們沒有鑰匙扣）和被盜密碼（他們有鑰匙扣，但不是我的腦）。

其他銀行，如全國（英國），向您的客戶ID（相當於用戶名），但也有「難忘數據」（有效密碼）和從6位數字三位數用鼠標在下拉列表中選擇的代碼。我知道這是爲了防止鍵盤記錄器：密碼（「難忘的數據」）提供傳統的密碼安全性，但下拉數字列表提供了鍵盤記錄保護，因爲數字是隨機選擇的，並且用鼠標（鍵盤記錄器一般不記錄鼠標移動）。然而，通過鼠標選擇整個密碼是不切實際的，所以這就解釋了這一點。

現在回到你原來的問題假設你不是在談論我剛剛在上面描述的兩種情況，那麼答案是「這取決於」。

然而，人們會認爲有問題的網站只是在通過密碼匹配實現（希望使用鹽漬哈希）之前將兩個密碼連接在一起，但即使它們沒有連接在一起，顯然組合的數量（假設只有16個字符密碼（26^16）與兩個8字符密碼（26^8 * 26^8 == 26 ^（8 + 8））相同。

因此，考慮到兩種情況下輸入域的大小是相同的，這表明網站開發人員是愚蠢的，或者他們有單獨的文本框來幫助可用性（例如，長密碼短語是通過連接兩個更容易的-remember密碼），有一個雙因素系統就地，或有一個鍵盤記錄技術就地......或其他東西:)

Answer 2

它沒有那麼多的安全，並根據您的數據庫佈局實際上可以降低性能。這對用戶來說也是一個巨大的麻煩。

Answer 3

你所說的方法稱爲「雙驗證」當與幾種不同的識別技術一起使用時，它是最有效的。

例如，第一種驗證方法可能涉及電子郵件+通行證（我們都熟悉該通行證），第二種可能涉及使用手機+短信（發送到您的手機的代碼用於額外驗證）。

這是一個好主意，我一直都在使用它的所有Google應用程序。就在幾個月前，我們的一個競爭對手（沒有名字）有他的谷歌帳戶被黑客入侵，用戶信息暴露。這可以通過雙重驗證來避免。

至於密碼效率問題，請查看此鏈接。 http://howsecureismypassword.net/

雙程確實意味着更多的安全性，但使用不同的驗證方法使其更有效。