关于口令强度等级的设计

近来在笔者所参与的一款产品中涉及到口令安全的功能设计，其中一项功能是有关于口令强度的。在设计该功能过程中势必涉及到口令强度的划分设计，怎样的口令才算是低强度的，怎样的口令才算是高强度的。目前诸多的Web系统注册功能中的口令强度设计及划分也无统一标准，更有甚者是直接根据口令长度来设计的口令强度划分。

如果要评判一则口令是强是弱，就必须先考虑影响口令强度的因素：复杂性和长度，因为我们在输入口令时只有这两种维度的选择：要么多输入一些特殊字符增强复杂性，要么多输入一些混合字符/字母增加口令长度。在不考虑拖库、社工等口令获取方式的前提条件下，通常情况下，破解口令仅有暴力破解的方式可以选择，其中亦包括字典攻击和彩虹表破解。

在纯粹的暴力破解中，攻击者需要逐一长度地尝试口令可能组合的方式，是ATM机般的纯数字组合，还是12306般的纯数字字母组合，亦或是正常电商那般可以混合输入数字、字母和特殊字符。假设一则口令P的长度是L，可选择的组合形式范围的长度是S，那么即便是在“暴力破解”这种残暴字眼的手段中，运气不好的情况下仍然需要最多尝试SL次。口令是否安全的原则取决于攻击者能否在可容忍的时间内破解出真实口令，而是否有耐心进行暴力破解往往决定于攻击者的目的及成效：一名仅为破解电子书小说压缩包的宅男不大可能会浪费一天以上时间等待口令的“出现”。

既然暴力破解需要尝试最多达SL次方能破解出口令，那么破解口令的速度即是破解成效的约束条件。在许多情况下，破解速度取决于CPU运算的能力，但更多时候攻击者面临的是联网破解甚至口令系统设计者的种种防护手段，这时网络、I/O、运算能力甚至系统防护措施都必须考虑在破解速度之内。如今许多电子邮箱的防口令破解的措施是限制在一段时间内仅能尝试为数不多的几次登陆，若考虑到类似的措施，相信口令破解的速度绝对会让你更加失望!

在比特币挖矿都需要专业矿机，高配GPU的时代，口令的破解自然不会延续使用以往原始的CPU运算。一年前的现在，来自Stricture商业咨询公司的Jeremi Gosney公布了他们用一组GPU集群暴力破解密码的成果：

普通的MD5加速破解速度达到每秒1800亿次，SHA1的破解速度达到630亿次/秒，NTLM的破解速度达到3480亿次/秒，LM加密的破解速度也有200亿次/秒。

由此可见，口令的强度正随着运算能力的逐渐提升而降低，10年前的高强度口令或许对于今天的GPU集群破解已然可以被视为“不堪一击”。在不考虑UNICODE编码中电脑键盘未标明的特殊字符，在构建口令时，我们通常可选择的组合范围是：

数字：0~9 共10位
字母：a~z A~Z 共52位
特殊字符：“ !"#$%&'()*+,-./:;<=>?@[\]^_`{|}~” 不包含两边引号共33位(其中包含空格)

如果我们将SL当作口令强度的评测标准，显而易见，在口令长度相同的情况下，我们可选择的组合方式和范围内越大则口令强度越强，即S越大，SL的值越大。

另一方面，在可选择的组合方式和范围有限的情况下，口令长度越长则口令强度越强，即L越大，SL的值越大。

由于SL是指数级的增长，所以口令的高复杂度并不意味着口令的高强度，比如：16位纯数字的口令的组合方式有1.0e+16种，而8位数字/字母/特殊字符混合口令的组合方式仅约为6.634e+15种，从暴力破解的难度上看，前者比后者要高出一个数量级。

鉴于当前GPU的运算能力越来越强大，笔者在设计口令强度的划分时不得不参考上文中的GPU集群破解速度，上文中所提到的GPU集群暴力破解速度最低也达到百亿次每秒，故以100亿次/秒的破解速度为参考，并假设破解时间不足一天的口令即为低强度，超出一天但不满一年为中等强度，超出一年为高强度，尽管在这种假设的前提下某些低强度口令在常规运算能力下仍然可被当作高强度口令。在不同的口令组合情况下，不同口令强度的口令长度范围如下所示：

上表亦可作为设置强口令时的参考。如相关报道中所称，若使用Jeremi Gosney的GPU集群，6-8位的口令“在暴力破解面前几乎无法幸免”。

下面再来看看微软的“密码检查器”，从该页面检测口令强度的JS脚本中可以轻松看到其口令强度的划分标准：

口令长度小于8位：Weak
口令长度大于等于8位：Medium
口令长度大于等于14位：Strong
口令长度大于等于14位且包含数字、大小写字母及特殊字符：Best

以及IBM旗下Lotus Domino的口令强度划分：口令安全性等级，或者可以在这里检测自己的口令强度及破解时间。

漏网之余

彩虹表是一种特殊的字典，由已做加密的密码构成，通过与系统中加密的口令对比来探测明文口令。而彩虹表的构成多数情况下亦是由程序自动生成，尽管数据量庞大，但依然是根据弱口令或穷举口令组合加密而形成，此外也包括人工添加的已知明文/密文的彩虹表数据。

因此，彩虹表破解及弱口令猜测终究是为了减小破解口令的范围，从而节省破解时间，可以将彩虹表及弱口令想象成为一个庞大的散状分布的点图，越是远离聚焦点的口令就会有越小的几率被包含在彩虹表/弱口令中。

由此可见，口令强度不仅仅需要考虑复杂度和长度，设定口令时的奇葩程度也影响着口令安全，就像女人不希望撞衫，安全的口令也不希望雷同。

(全文完)