为什么在密码中使用特殊字符被视为强密码？

Question

为什么强密码需要包含特殊字符？

某些网站要求输入特殊字符作为创建密码的强制要求。

这背后有什么技术原因吗？

Answer 1

当然。解释起来很长，超出了我的能力，所以你需要阅读信息论中的熵概念。来自维基百科的更简单的解释：

人为生成的密码

众所周知，人们在获得足够的熵来产生令人满意的密码方面存在疏忽。一些舞台魔术师通过预测观众做出的假设的随机选择（例如数字），以一种较小的方式利用这种无能来娱乐。

因此，在对超过 300 万个八字符密码的分析中，字母“e”的使用次数超过 150 万次，而字母“f”的使用次数仅为 25 万次。如果采用均匀分布，每个字符的使用次数约为 900,000 次。最常用的数字是“1”，而最常用的字母是 a、e、o 和 r。

用户很少在形成密码时充分利用更大的字符集。例如，2006 年 MySpace 网络钓鱼计划获得的黑客结果显示了 34,000 个密码，其中只有 8.3% 使用大小写、数字和符号混合的密码。

请注意，只有从该集中随机选择密码中的每个字符，才能实现与使用整个 ASCII 字符集（数字、混合大小写字母和特殊字符）相关的全部强度。将字母大写并在密码中添加一两个数字和特殊字符不会达到相同的强度。如果以可预测的方式添加数字和特殊字符，例如在密码的开头和结尾处，则与相同长度的全字母随机密码相比，它们甚至可以降低密码强度。 NIST特别出版物 800-63

2004 年 6 月的 NIST 特别出版物 800-63 建议采用以下方案来粗略估计人类生成的密码的熵：2

The entropy of the first character is four bits;
The entropy of the next seven characters are two bits per character;
The ninth through the twentieth character has 1.5 bits of entropy per character;
Characters 21 and above have one bit of entropy per character.
A "bonus" of six bits is added if both upper case letters and non-alphabetic characters are used.
A "bonus" of six bits is added for passwords of length 1 through 19 characters following an extensive dictionary check to ensure the password is not contained within a large dictionary. Passwords of 20 characters or more do not receive this bonus because it is assumed they are pass-phrases consisting of multiple dictionary words.

使用此方案，人工选择的八个字符的密码（不含大写字母和非字母字符）估计具有 18 位熵。NIST 出版物承认，在开发时，有关现实世界密码选择的信息很少。

后来使用新近可用的现实世界数据对人类选择的密码熵进行的研究表明，NIST 方案没有为人类选择的密码的熵估计提供有效的度量。可用性和实施​​注意事项

由于各国键盘实现各不相同，因此并非所有 94 个 ASCII 可打印字符都可以在任何地方使用。这可能会给希望使用本地计算机上的键盘登录远程系统的国际旅行者带来问题。请参阅键盘布局。许多手持设备，例如平板电脑和智能手机，需要复杂的移位序列来输入特殊字符。

身份验证程序在密码中允许使用的字符方面有所不同。有些不识别大小写差异（例如，大写“E”被认为等同于小写“e”），其他则禁止使用某些其他符号。在过去的几十年里，系统允许在密码中使用更多字符，但限制仍然存在。系统允许的最大密码长度也有所不同。

或者，用外行人的话说：对于在字母数字选项上添加的每个附加字节，您都会使密码变得更加复杂且难以破解。

更多信息请点击此处