این ابزار درست کار نمیکند؟
دربارهٔ ابزار «Password Strength Checker Online»
این ابزار یک رمز عبور را تجزیه و تحلیل میکند و تخمین میزند که در برابر حملات رایج چقدر قوی است. طول، تنوع کاراکتر، کلمات فرهنگ لغت، الگوهای رایج (۱۲۳، qwerty)، توالیهای صفحهکلید، و دادههای نقض شناختهشده را بررسی میکند، سپس امتیاز قدرت و زمان تخمینی برای شکستن با سختافزار فعلی را گزارش میدهد.
از آن برای آزمایش رمزهای عبور قبل از پذیرفتن آنها استفاده کنید — چیزی را انتخاب کنید که ابزار آن را به عنوان «قوی» یا «بسیار قوی» ارزیابی میکند، نه فقط چیزی که خودتان قابل قبول میدانید. بسیاری از رمزهای عبوری که احساس امن میکنند (Password123!، Tr0ub4dor) امتیاز ضعیفی میگیرند زیرا الگوها به خوبی شناختهشده هستند.
تمام تجزیه و تحلیل در مرورگر شما اتفاق میافتد. هیچ چیز به سرور ارسال نمیشود. جستجوهای رمز عبور در برابر دادههای نقض از k-anonymity استفاده میکنند (فقط ۵ کاراکتر اول هش ارسال میشود)، بنابراین هیچ هش کامل یا رمز عبور دستگاه شما را ترک نمیکند.
چطور از این ابزار استفاده کنم؟
چطور قدرت یک رمز عبور candidate را تخمین بزنم؟
رمز عبور را وارد کنید
candidate را در فیلد «Password» قرار دهید. چک بهصورت local در مرورگر شما انجام میشود — هیچ چیز به سرور ارسال نمیشود، اما با form مانند یک form واقعی رفتار کنید (رمز production را در ابزاری که اعتماد ندارید paste نکنید).
«اجرا» را بزنید
خروجی `score` (۰-۴، بالاتر قویتر است) و `feedback` (یک رشتهٔ hint کوتاه مانند «add more characters» یا «avoid common patterns») را برمیگرداند. score heuristic است — بر اساس کلاسهای کاراکتر، طول و dictionary hit، مشابه تخمینزنهای سبک zxcvbn.
score واقعاً چه معنی دارد
۰-۱ = trivial برای brute-force آنلاین (کمتر از یک میلیون guess). ۲ = با حملهٔ آنلاین در برابر API بدون throttling قابلحدس. ۳ = در برابر بیشتر حملات آنلاین ایمن. ۴ = در برابر حملات آفلاین هم ایمن. برای login سرویس، به ۳+ هدف بگیرید.
طول از پیچیدگی بهتر است
یک pass-phrase ۲۰-کاراکتری lowercase score بالاتری از یک `Pa$$w0rd!` ۸-کاراکتری میگیرد چون entropy length-based سریعتر از ترفندهای punctuation رشد میکند. الگوی سبک XKCD «correct horse battery staple» بهراحتی به ۴ میرسد.