Passwords 为什么密码中允许重复字符是不安全的？

我检查了几个密码策略，确定密码中不允许有2个或更多重复字符，例如：“XXXXX 5”。但这一策略对我来说没有意义，因为密码空间减少了（我知道XXXXX 5是一个非常不安全的密码，但也有一些非常好的密码使用重复字符并增加密码熵），我认为这种密码更容易使用暴力攻击破解（需要检查的密码较少）

我错过什么了吗

我不是安全专家所以

谁能解释一下这个政策是对还是错

---

感谢

为了便于计算，我们假设只允许使用字母数字密码。因此，我们有26+26+10个字符可供选择

如果我们还假设密码的最大长度为8个字符，则密码空间为62^8

---

此外，每个密码只能使用一个由5个重复字符组成的字符串，这意味着我们减少了62个密码空间，留下了（62^8）-62密码可能性。与防止他人输入极弱密码的额外安全性相比，减少的空间量是微不足道的。

我同意，除了作为“避免字典单词和其他琐碎密码”的一部分之外，此策略没有太多意义（但这是一个有效的策略）

---

虽然排除这些会减少密码空间的大小，但黑客确实会使用单词列表，而且列表中的单词会先试用，所以传统上，你会禁止这些。但是，我不确定这仍然有多重要。对我来说，让你的密码尽可能长，并加入额外的重复字符似乎更重要删除此填充后，ters应优于相同但较短的密码

无论你怎么看，同时使用“简单”和“短”的密码显然是不好的。因此，排除“XXXXX 5”是一个好策略，但“HYS99H23SBLAHBLAHBLAHBLAHBLAHBLAHBLAHBLAHBLAH”可能是一个好的密码。

不允许出现重复字符的好密码，如

jjjbtieoygn

，会略微降低安全性，因为它会略微减少搜索空间（假设攻击者知道规则）

但这些限制的目的是不允许真正糟糕的密码，比如

jjkkkllmm

一个理想的解决方案是拒绝轻易破解的密码——但判断密码是否容易破解是一个极其困难的问题。如果用户可以被信任使用好的密码，这将不是一个问题，但根据统计，三种最流行的密码是

密码

，

123456

，和

12345678

---

拒绝

xxxxx 5

很可能会发现有人试图使用非常糟糕的密码，而不是给碰巧从高质量随机数生成器获得

xxxxx 5

的人带来不便。

更有害的策略可能是最大长度为8个字符。将密码设置得更长应该有助于防止brute强制攻击很多。一个简单的方法是用简单的模式（如重复）填充你的8个字符的密码。一个正确的30个字母的随机密码会更好，但由于这些很难管理，用一些简单的模式将一个好的8个字母的密码炸成30个字母是一个很大的改进。@Thilo-同意。我只是选择数字作为演示。我不是在挑你的毛病。我很高兴你提出了最大长度，因为这在许多系统中都是强制执行的，而且这会产生反效果，可能会破坏其他密码策略提供的任何好的密码。我也无法理解其中的原因，因为如果你存储哈希，长度根本不重要所有这些都是为了服务器端存储。悲伤但真实的故事：我的银行最近更新了他们的网上银行系统，并迫使我将密码更改为较短的密码。感谢您的回复，但我之前描述的策略是关于任何连续重复字符（2个或更多）不仅仅是5，在这种情况下，密码空间会减少很多。我知道“XXXXX 5”示例是一个非常不安全的密码，但例如“jj4ooo”是一个很好的密码，此策略不允许链接：-密码应该没有此类历史过时的错误信息。感谢您共享此链接，正如您所看到的，尽管正确。horse.battery.stype是一个很好的密码。所述策略不允许它作为有效密码！！（因为tt和rr）re:user166390，我不认为“correcthorsebatterystaple”会成为一个好的密码，容易受到字典攻击？好的，所以基本上这种策略试图防止用户以减少密码空间为代价选择一个单词列表密码，虽然这不是最好的解决方案，但它是“实用的”解决方案，因为使用单词列表（不使用单词列表）确定密码是否可破解是一个困难的问题，不是吗？谢谢您的回答。“添加额外的重复字符”如果在抛出后计算结果字符串是否具有最小长度，则看起来是一个好主意。您应该得到一个没有填充字符的最小长度。“XXXXX 5”不好。