Alat Kata Sandi Kembali ke penjana

Panduan keselamatan

Berapa Panjang Kata Laluan yang Seharusnya?

Ketahui bila perlu memilih 12, 16, 20, atau 32 aksara dan mengapa panjang, keunikan, serta penyimpanan kata laluan lebih penting daripada kerumitan visual.

Ringkasan

Untuk kebanyakan akaun moden, 16 aksara rawak adalah garis dasar praktikal yang kukuh. Gunakan 20 atau lebih untuk akaun peribadi penting, e-mel, perbankan, kerja, atau pentadbiran. Gunakan 32 aksara apabila kata laluan akan disimpan dalam pengurus dan melindungi akses bernilai tinggi.

Cuba penjana 16 aksara, 20 aksara, atau 32 aksara.

Julat panjang

Kata laluan pendek lebih mudah diteka kerana terdapat lebih sedikit kombinasi yang mungkin. Enam hingga sembilan aksara biasanya terlalu pendek untuk keselamatan akaun. Sepuluh hingga empat belas aksara mungkin diterima oleh banyak perkhidmatan, tetapi tidak boleh dianggap sebagai destinasi pilihan untuk akaun penting.

Enam belas aksara rawak adalah lalai yang baik apabila pengurus kata laluan menyimpan nilainya. Dua puluh aksara menambah margin sambil kekal serasi dengan banyak laman web. Tiga puluh dua aksara berguna untuk panel pentadbiran, fail disulitkan, kelayakan pangkalan data, dan rahsia tempatan.

Panjang rawak berbanding panjang manusia

Kata laluan rawak 16 aksara sangat berbeza daripada frasa 16 aksara buatan manusia. Pilihan manusia sering merangkumi perkataan, tarikh, nama, dan pengakhiran yang boleh diramal. Penyerang menguji corak tersebut sebelum mencuba serangan brute force buta.

Cadangan praktikal

Panduan terperinci

Panduan ini memberi tumpuan kepada memilih panjang kata laluan untuk risiko akaun yang berbeza. Ia ditulis untuk pembaca yang membandingkan pilihan 12, 16, 20, 24, dan 32 aksara, jadi matlamat praktikal bukan untuk membuat tuntutan keselamatan yang dramatik. Matlamatnya adalah untuk memilih tabiat kata laluan yang dapat bertahan dalam penggunaan harian: borang log masuk, pengurus kata laluan, papan kekunci mudah alih, pemulihan akaun, peranti kongsi, dan perkhidmatan sekali-sekala dengan peraturan pengesahan yang pelik. Cadangan yang selamat hanya berguna jika orang sebenar boleh mengikutinya secara konsisten.

Titik permulaan paling selamat adalah rawak ditambah keunikan. Rawak bermaksud nilai dipilih daripada ruang yang besar oleh sumber rawak yang sesuai secara kriptografi, bukan dicipta daripada hari lahir, nama haiwan peliharaan, corak papan kekunci, atau petikan kegemaran. Keunikan bermaksud kata laluan yang sama tidak digunakan di tempat lain. Kata laluan yang panjang tetapi diguna semula boleh gagal dengan cepat selepas satu pelanggaran yang tidak berkaitan, manakala kata laluan rawak yang unik mengehadkan kerosakan kepada satu akaun di mana ia digunakan.

Untuk topik ini, pratetap praktikal adalah 16 aksara untuk akaun biasa, 20 atau lebih untuk akaun penting, dan 32 untuk rahsia yang disimpan dan bukannya ditaip. Anda boleh menggunakan pratetap itu dengan penjana kata laluan 32 aksara dan kemudian simpan nilai akhir dalam pengurus kata laluan yang dipercayai. PwdGen menjana nilai secara setempat dalam pelayar dengan Web Crypto; kata laluan yang dijana tidak dihantar ke pelayan PwdGen. Reka bentuk setempat itu mengurangkan pendedahan sebelah pelayan, tetapi ia tidak melindungi daripada setiap ancaman. Sambungan pelayar berniat jahat, peranti terjejas, halaman pancingan data, atau pengendalian papan klip yang tidak selamat masih boleh mendedahkan rahsia selepas ia dijana.

Masalah paling biasa yang perlu dielakkan ialah nilai rawak pendek, had panjang maksimum, borang warisan, dan menganggap nombor tetap selamat untuk setiap sistem. Masalah ini penting kerana penyerang jarang perlu melakukan brute force setiap kemungkinan kata laluan apabila tabiat manusia memberi mereka jalan pintas. Credential stuffing, pancingan data, senarai kata laluan bocor, dan penyalahgunaan pemulihan akaun selalunya lebih realistik daripada carian matematik tulen. Itulah sebabnya nasihat terbaik menggabungkan kualiti kata laluan dengan kawalan peringkat akaun seperti MFA, kunci laluan, penyimpanan kod pemulihan, dan semakan tetap tetapan e-mel atau telefon pemulihan.

Gunakan senarai semak ini semasa menggunakan cadangan:

Jika laman web menolak tetapan ideal, jangan paksa kata laluan ke dalam corak yang lebih lemah secara manual. Laraskan satu pembolehubah pada satu masa. Jika simbol ditolak, kekalkan huruf besar, huruf kecil, dan nombor diaktifkan dan tingkatkan panjang. Jika panjang maksimum rendah, gunakan panjang terbesar yang diterima dan pastikan nilainya unik. Jika kata laluan perlu dibaca dengan kuat, dicetak, atau ditaip pada skrin televisyen atau penghala, pertimbangkan untuk mengecualikan aksara yang mengelirukan dan meningkatkan panjang untuk mengimbangi abjad yang lebih kecil.

Akhir sekali, ingat sempadan nasihat kata laluan. Kata laluan yang kukuh adalah satu lapisan pertahanan, bukan jaminan. Ia tidak boleh menjadikan halaman pancingan data selamat, membaiki perisian hasad, atau mengimbangi perkhidmatan yang menyimpan kelayakan dengan buruk. Tabiat yang berguna adalah membosankan tetapi tahan lama: jana nilai unik, simpan dengan selamat, lindungi laluan pemulihan, dan gantikannya dengan cepat jika anda mengesyaki pendedahan.

Soalan lazim

Adakah 12 aksara mencukupi?

Kata laluan rawak 12 aksara boleh berguna untuk keserasian, tetapi 16 atau lebih adalah lalai yang lebih baik apabila perkhidmatan menerimanya.

Bilakah saya perlu menggunakan 20 atau 32 aksara?

Gunakan 20 atau lebih untuk akaun penting dan 32 untuk aliran kerja pentadbiran, fail disulitkan, atau rahsia pembangun yang disimpan dalam pengurus kata laluan.

Bolehkah kata laluan terlalu panjang?

Sesetengah perkhidmatan mengenakan panjang maksimum atau menolak simbol. Gunakan nilai rawak unik terpanjang yang diterima oleh destinasi.

Sumber