Mật khẩu hệ thống của tôi phải mất bao lâu?

Trong các phiên bản đầu tiên của Mac OS X, chỉ 8 ký tự đầu tiên của bất kỳ mật khẩu nào được sử dụng. Sau này Apple đã tăng con số đó.

Một hệ thống mật khẩu thích hợp lưu trữ một hàm băm chứ không phải mật khẩu thực tế. Trong trường hợp đó, mật khẩu / cụm mật khẩu dài hơn thường tốt hơn để tăng cơ hội tạo ra giá trị băm chưa được tính toán trước. Tôi giả sử Apple đang sử dụng kỹ thuật băm này để xác thực người dùng đăng nhập hệ thống.

Đó là Mavericks, số lượng ký tự tối đa trong cụm mật khẩu được sử dụng bởi đăng nhập tài khoản người dùng của Apple là bao nhiêu?

Tôi đã kiểm tra mật khẩu lên tới 480 ký tự (trong phiên bản OS X 10.8.5) và nó đã sử dụng tất cả chúng; khoảng 480 passwdlệnh có một chút rắc rối khi thiết lập mật khẩu, nhưng nó hơi không nhất quán, vì vậy tôi không chắc đó có phải là giới hạn thực sự hay không. Tôi đã không kiểm tra với giao diện System Prefs, vì nó không cho phép dán mật khẩu và không có cách nào tôi gõ một cái gì đó dài (hai lần!). Về cơ bản, nó sẽ sử dụng nhiều như bạn có thể đứng để gõ.

Hàm băm (muối và kéo dài) của mật khẩu đăng nhập được lưu trữ /var/db/dslocal/nodes/Default/users/username.plisttrong 10.7 trở về sau. Nếu bạn lo lắng rằng ai đó có thể đọc hàm băm (ví dụ: bắt đầu ở chế độ người dùng đơn) và sau đó sử dụng công cụ bẻ khóa như DaveGrohl để tìm ra mật khẩu, OS X đã sử dụng PBKDF2 kể từ 10.8, điều này hạn chế các công cụ bẻ khóa mười lần đoán mỗi giây mỗi lõi.

Mất khoảng mười phút để đoán mật khẩu ba ký tự ngẫu nhiên trên iMac của tôi:

$ sudo dave -u $USER
-- Loaded PBKDF2 (Salted SHA512) hash...
-- Starting attack

-- Found password : 'y8d'
-- (incremental attack)

Finished in 879.274 seconds / 31,385 guesses...
35 guesses per second.

Trừ khi bạn thực hiện một cuộc tấn công phân tán, hiện tại không thực tế để bẻ khóa ngay cả mật khẩu tám ký tự ngẫu nhiên bao gồm các chữ cái ASCII chữ thường và số ASCII. Với 40 lần đoán mỗi giây, sẽ mất khoảng 36 ^ 8/40 / (86400 * 365) 2000 năm để kiểm tra tất cả các tùy chọn.

Trên thực tế lưu trữ băm là một cách TERRIBLE để "lưu trữ" mật khẩu một cách an toàn. Về bản chất, băm không thể "đảo ngược", nhưng điều đó không ngăn người ta tạo ra một bảng lớn (được gọi là bảng cầu vồng ) lưu trữ các cặp băm văn bản. Với bảng này, bạn có thể tra cứu hàm băm và xem (các) mật khẩu văn bản gốc được liên kết.

Cách lưu trữ mật khẩu được chấp nhận là phương pháp băm và muối. Một muối là một ngẫu nhiên, chuỗi lớn được kết hợp với mật khẩu trước khi một hash được tính toán. Điều này làm cho đầu vào của hàm băm quá lớn để có thể tính toán trước một cách khả thi trong bảng cầu vồng. Cuối cùng, những thứ duy nhất được lưu trữ trong cơ sở dữ liệu mật khẩu phù hợp là băm và muối (muối có thể được lưu trữ trong bản rõ, vì chúng hoàn toàn không hữu ích trong việc đảo ngược băm).

Về cơ bản, bạn không cần phải có mật khẩu dài để bảo vệ khỏi các cuộc tấn công bảng cầu vồng, vì muối làm điều đó cho bạn.

Computerphile đã tạo ra một Video YouTube tuyệt vời về lưu trữ mật khẩu.

Theo như việc tạo mật khẩu an toàn, một trong những cách tiếp cận tốt nhất là sử dụng từ 4 - 6 độ dài trung bình, không liên quan, các từ THỰC SỰ (không cần ký hiệu / số). Điều này đảm bảo mật khẩu đủ dài, không dễ đoán và quan trọng nhất là dễ nhớ (vì vậy bạn sẽ không bao giờ bị cám dỗ để viết nó trên một tờ giấy dính).

TL; DR: