credit:123RF
作为密码安全的研究者,我们早已知晓大部分密码建议实际上并非基于科学知识。对此,我们进行了密码安全性和易用性方面的实验。联邦政府最近呼应我们的某些研究发现,改变了自身的密码推荐。
计算机防御密码
我们花了多年来建模不同密码破解方法的工作机制,以此更好地理解攻击者如何猜测密码,并据此提出密码强度的准确度量。试图攻破网上账户的人并不只是坐在电脑前猜几下而已。很多攻击者能窃取大型公司的整个密码数据库,例如,雅虎、领英、Adobe以及阿什利·麦迪逊都发生过此类事件。为了安全,密码是东拼西凑而成,所以攻击者必须进行大量的猜测来解密。但电脑程序可以在几个小时内作出数百万或者数十亿次猜测。
他们可能最开始猜测所有最流行的密码和词典中的字,然后给每个猜测密码加上1,然后是其他的数字和符号,然后大写第一个字母,等等。最终的结果就是所有复杂密码政策都无法阻止,或者甚至真正减缓破解很多用户的密码的脚步。
更糟糕的是,一旦攻击者猜中了用户某个账户的密码,他就会经常用同样的密码去试该用户的其他账户。由于用户倾向于再次使用密码,攻击者很可能会成功。一个破解了你在8年前注册过现在已经忘了的某个网站的密码的攻击者也许现在能进入你的电子邮箱、你的社交网络账号以及你的银行账号。
所有这些被应用于破解密码的计算能力意味着用户需要选择极其难以猜测的密码:计算机难以搞清楚的密码。
测试密码强度概念
我们的研究教会人们如何利用密码安全概念的新理解。5万多人参与了我们的网上实验,每个人都根据随机分配的要求创建一个密码:比如,“最少12个字符”或者“必须包含大小写字母、数字和符号”。我们度量了密码的实际强度,参与者记住一个密码几天的能力和其他指标。我们还分析了我们大学里的学生、教员和职员创建的实际密码。
我们的数据表明,人们对密码有很多误解,比如在密码最后加上一个数字或者感叹号就能使密码变得更强。这个问题传播的如此广泛,以至于我们创建了一个在线智力竞赛来帮助驱除某些误解。
此外,我们的数据表明,鼓励更长的密码(12字符以上)比复杂的密码更重要。同时,我们了解到,某些人创造的长密码仍然是可预测的,好比“passwordpassword”或者“xxxxxxxxxxxx”。
我们还发现,当人们在创建新密码时给出反馈有帮助。很多时候这是以“密码检查表(password meters)”的形式给出的,即用颜色信号表明所用密码的强弱。
由于网络上提供的大部分密码检查表的评分都不准确,有时候提出的建议有有待商榷,于是我们提出了另一种密码检查表,基于数百万其他密码的分析,利用人工神经网络计算密码的强度。此外,当密码检查表鉴别出弱密码时,会立即提供使之变得更强的建议。例如,如果某人把所有数字放在密码最后,我们的系统可能就会建议将它们移动到中间。
创建强密码
我们的研究使我们为密码选择提出了某些特定的推荐,能为网上账号和其中所含的数据保驾护航。这个过程中一个关键的辅助是使用密码管理者产生长的随机密码,并为你记住。
如果你正在自己创建密码:
Quote:
l 密码至少包含12个字符,并混合含有至少两到三种字符(小写字母,大写字母,数字,符号),将字符放在难以预测的位置。不要把大写字母放在密码起始,或者把数字和符号放在末尾。
l 避免包含人物或者宠物的名字、居住地点、球队名称、你喜欢的东西或者生日,避免常见短语(特别是任何语言中任何与“爱”有关的)和歌词。不要使用模式(“abs”,“123”),包括键盘的模式(“1qazxsw2”)。
l 创建强密码的一种方法是创造一句从没人说过的话,然后用每个字的第一个或前两个字母作为密码,混以其他类型的字符。
再次使用现有的密码可能很诱人,但对于任何你关心的账号都不要这么做。如果你所拥有的密码数量超过了记忆的范围,最好是在一个安全的地方写下来,或者就用一个密码管理者。
如果不想让自己的密码变得很复杂,那么在条件允许的情况下,可以使用双重认证来保护账号,这比很多人所认为的更简单。
密码是网上生活烦人的一部分,但并不会很快消失。虽然过去十年的密码政策给用户带来的伤痛多过安全增益,但我们的研究正帮助寻找创建密码的新方法,使之对寻常人也有用,同时使我们更安全。
本文译自 conversation,由译者 CliffBao 基于创作共用协议(BY-NC)发布。Lorrie Cranor(卡内基梅隆大学)&Blase Ur(芝加哥大学)Lujo Bauer(卡内基梅隆大学)Michelle Mazurek(马里兰大学)Nicolas Christin(卡内基梅隆大学)
发表回复