2
A
回答
0
号
如果我理解正确的话,你提议与哈希,而不是明文密码本身提供虚拟工具。我对这个猜想相当有信心:描述它的工具会告诉我们更多关于SSHA加密的信息,而不是底层密码的强度。
我会以积极的方式说这个:一个评估密码强度的工具对纯文本密码进行操作;否则,它主要测量哈希方法的熵。
当然,我的主张没有特定的Plone内容。基于现有密码强度检查器之一来构建Plone(或Zope ...)产品当然应该很简单。我知道没有为公众包装的东西。
0
SSHA或更常见的称为salted sha1是一种存储密码的好方法。 SHA1在技术上已经损坏,但没有人产生冲突,它仍然在NIST推荐的消息摘要函数列表中。
John The Ripper可以用来打破咸sha1哈希。
盐渍SHA256将是一个更好的选择。
1
如果你只有散列,那么你唯一可以做出的评估是通过尝试猜测确切的密码,这是很昂贵的。然后,无论你是否打破它,或者不。没有回旋的余地。您可以使用时间它将您猜测密码作为密码强度的估计值,但是,希望好密码的实际使用时间会更长。这就是哈希密码的要点:所以猜测密码并使用哈希验证密码是几周或几个月而不是几分钟。
作为渗透测试的一部分,如果您有散列密码,那么您应该运行password cracker。如果确切的密码哈希过程尚未整合,您可能需要开发一些软件。任何破解的密码将被报告为严重的系统弱点。
通常的密码强度估算器通过尝试确定密码的可猜测程度来对非密码密码进行操作。这在实践中效果不佳,因为“猜测”可能涉及人类大脑,从而避免了精确建模。例如,您可以通过连接四个或五个日期(例如YYMMDD格式)来创建一个长密码;这样的密码估计会有很好的实力 - 但是如果日期是你妻子和孩子的出生日期,那么密码实际上很容易被猜出。
相关问题
- 1. 密码强度测量仪
- 2. 密码强度
- 3. Firefox扩展 - 密码强度测量
- 4. 检查密码的强度
- 5. jquery密码强度脚本
- 6. 密码强度检查器
- 7. 检查密码强度
- 8. 密码强度验证
- 9. 强制密码每6个月更换一次Plone
- 10. C中的密码强度检测器不起作用
- 11. 密码测试在Python
- 12. ASP.NET的密码强度控制
- 13. jQuery密码强度检查器
- 14. RegEx密码强度验证问题
- 15. ExtJs密码强度检查程序
- 16. 如何检查密码强度?
- 17. 无法显示密码的强度
- 18. 密码强度脚本失败
- 19. ASP.NET密码强度正则表达式
- 20. Python tkinter密码强度检查gui
- 21. 密码强度检查蟒蛇
- 22. 引导3.0 + jQuery密码强度表多个密码字段
- 23. 密码强度无法重置密码Symfony
- 24. tsql-强密码
- 25. KeyStore的强密码
- 26. 使用RSpec测试密码长度使用设计
- 27. AES密码黑莓中的密钥强度
- 28. Plone的测试亚军错误
- 29. 记录功能性Plone测试用例的硒测试
- 30. 角度js ng-keyup不能用于密码强度检查
这不是一个Plone特定的问题,所以我删除了plone标签。 – 2010-11-22 20:35:21
sha/ssha是一个散列函数,不是加密算法。 – rook 2010-11-22 21:14:10