2
A
回答
0
號
如果我理解正確的話,你提議與哈希,而不是明文密碼本身提供虛擬工具。我對這個猜想相當有信心:描述它的工具會告訴我們更多關於SSHA加密的信息,而不是底層密碼的強度。
我會以積極的方式說這個:一個評估密碼強度的工具對純文本密碼進行操作;否則,它主要測量哈希方法的熵。
當然,我的主張沒有特定的Plone內容。基於現有密碼強度檢查器之一來構建Plone(或Zope ...)產品當然應該很簡單。我知道沒有爲公衆包裝的東西。
0
SSHA或更常見的稱爲salted sha1是一種存儲密碼的好方法。 SHA1在技術上已經損壞,但沒有人產生衝突,它仍然在NIST推薦的消息摘要函數列表中。
John The Ripper可以用來打破鹹sha1哈希。
鹽漬SHA256將是一個更好的選擇。
1
如果你只有散列,那麼你唯一可以做出的評估是通過嘗試猜測確切的密碼,這是很昂貴的。然後,無論你是否打破它,或者不。沒有迴旋的餘地。您可以使用時間它將您猜測密碼作爲密碼強度的估計值,但是,希望好密碼的實際使用時間會更長。這就是哈希密碼的要點:所以猜測密碼並使用哈希驗證密碼是幾周或幾個月而不是幾分鐘。
作爲滲透測試的一部分,如果您有散列密碼,那麼您應該運行password cracker。如果確切的密碼哈希過程尚未整合,您可能需要開發一些軟件。任何破解的密碼將被報告爲嚴重的系統弱點。
通常的密碼強度估算器通過嘗試確定密碼的可猜測程度來對非密碼密碼進行操作。這在實踐中效果不佳,因爲「猜測」可能涉及人類大腦,從而避免了精確建模。例如,您可以通過連接四個或五個日期(例如YYMMDD格式)來創建一個長密碼;這樣的密碼估計會有很好的實力 - 但是如果日期是你妻子和孩子的出生日期,那麼密碼實際上很容易被猜出。
相關問題
- 1. sql:如何測試密碼強度
- 2. 密碼強度測量儀
- 3. 密碼強度
- 4. Firefox擴展 - 密碼強度測量
- 5. 密碼強度JavaScript
- 6. 密碼強度JQuery
- 7. 密碼強度計
- 8. C++中的密碼強度
- 9. 密碼強度檢查
- 10. 密碼強度驗證
- 11. 檢查密碼強度
- 12. 密碼強度檢查器
- 13. jquery密碼強度腳本
- 14. 檢查密碼的強度
- 15. 如何在更新密碼時測試密碼的長度
- 16. Plone測試:試圖在Products.ECQuiz
- 17. 強制密碼每6個月更換一次Plone
- 18. C中的密碼強度檢測器不起作用
- 19. 密碼強度測量儀出現故障
- 20. 測試密碼的輸入
- 21. rspec密碼測試失敗
- 22. 密碼測試在Python
- 23. Django測試用戶密碼
- 24. 測試密碼格式
- 25. 密碼強度腳本失敗
- 26. 密碼強度通過正則表達?
- 27. ASP.NET的密碼強度控制
- 28. ExtJs密碼強度檢查程序
- 29. 密碼強度實現ExtJS的
- 30. C++ Windows窗體 - 密碼強度
這不是一個Plone特定的問題,所以我刪除了plone標籤。 – 2010-11-22 20:35:21
sha/ssha是一個散列函數,不是加密算法。 – rook 2010-11-22 21:14:10