復雜密碼的真相:長度才是王道
責編:admin |2014-11-05 15:44:36在用戶數據大量泄露的今天,密碼成了眾矢之的和替罪羊。實際上安全專家們至今也沒有從用戶的角度出發給出可行的“復雜密碼”最佳實踐。
設置密碼、記住密碼、密碼被脫褲…更新密碼…然后忘記密碼,密碼的復雜性與易用性的矛盾始終沒有解決,“復雜密碼”不但是用戶的沉重負擔,也為企業帶來巨大損失。
Widmeyer調研公司的調查報告顯示,工作人員每年浪費在密碼上的時間加上為了省懶事而采 取的冒險行為,平均每名職員給企業帶來420美元的損失。也就是說,一個有500名員工的公司,每年在浪費在工作效率上的損失約為21萬美元。
是時候該反思高強度密碼的“復雜性”了,過去專家們建議的“復雜密碼“通常是包含大小寫、數字、字符的亂序密碼(甚至有磚家建議使用坑爹的需要組合鍵才能輸入的£),但在今天網站數據經常被拖庫,密碼需要經常更新的年代,復雜性除了引發用戶記憶恐慌外,反而成了導致眾多密碼問題的禍根。
今年5月份安全牛曾報道斯坦福大學的新密碼政策,鼓勵用戶使用容易記憶的自然語句生成的長密碼來替代“復雜密碼”,用密碼的長度來解決復雜性和強度的問題。近日Techtarget也發表了一篇觀點類似的文章,還附上了具體的操作建議,原文如下:
40多年以來,IT界一直在密碼戰役中屢戰屢敗。前段時間的明星iCloud帳號入侵事件只是我們眾多引人注目的失敗案例之一。因此,如密碼這樣看似簡單的事情,為何卻如此困難?
密碼安全的問題在于它是如此簡單,事實上它又如此矛盾困難。在安全方面,世界上最危險的事情是‘你認為你知道’,因為這樣你就不會懷疑你的知識。如果你問 一位典型的IT安全專家是否理解密碼,絕大多數會自信及堅決地回答”是”。但如果真這么絕對的話,為何與密碼相關的數據泄密卻又如此普遍?
我們不是在討論保護密碼存儲的技術問題。相反,我們是在討論人為部分。人們繼續選擇糟糕的密碼。典型的例子,2013年最常見密碼是”123456″,第 二位為”password”一詞,第三位”12345678″。是的,久負盛名、最受喜愛 的”iloveyou”、”letmein”、”abc123″,以及”princess”每年也都在常用密碼名單內。
那么為什么用戶很少關注他們的密碼呢?部分原因是人們(包括明星)認為不會有人謀求他們的帳號。這是老舊的”這不會發生在我身上”的心態。且其原因也在于我們傳遞給用戶的密碼信息通常也有錯誤。
IT安全界持續犯的最大錯誤之一在于:推動用戶執行特別復雜的密碼,但并沒有就此真實含義提供實際的指導。如果我們使得用戶記住一個密碼過于困 難,”123456″是必然的最終結果。在極少數情況下,用戶確實創建了一個復雜的密碼,但它通常太短且被用于他們所有的網站(在家或者工作中的)包括電 子購物和網上銀行。這意味著任何一個站點上的數據泄露可能導致潛在的破壞性后果。
揭穿復雜密碼的真相
“復雜密碼”這一術語也許是IT界被誤解最深的術語,也是今天眾多密碼問題的原因所在。往往”復雜密碼”等同于”無法記住”。我們必須意識到復雜度僅僅是 很小的一方面。不僅僅是復雜度的問題,還有不可預測性(密碼熵是一個有用的密碼可預測性衡量方法)。這正是一個好密碼的關鍵所在。
一個不可預測的密碼可能是用戶易于記住的。使用大小寫、數字及特殊字符(經典復雜性規則)為佳,只要我們不只專注于那些規則。例如,采用字符 串”Iwentfishing4timeslastmonth?”。這個密碼(或者更準確是一個密碼短語)易于記憶且易于輸入。它不是可預測的,它還是一 個復雜密碼,其中包含了我們一直建議的大寫/小寫/數字/特殊字符。
任何易于用戶記憶的簡短句子或格言都可以作為密碼。采用格言且增加少許復雜性規則,你立刻會擁有極強的密碼,它將不會在黑客字典中被發現,且只能通過暴力 方式被破解。根據Gibson研究公司暴力破解密碼計算器,暴力破解上述”Iwentfishing4timeslastmonth?” 例子,即使以每秒100萬億的猜測速率,也將需要花費76.43*1030世紀。那是一個相當強的密碼短語。
用戶可以遵循這種方式選取幾個字符串,并開發一個公式,通過修改字符串使其適用不同站點。例如, 設置一個Facebook密碼,可以添加”FB”和該用戶的畢業時間,這樣密碼就成 了”FB89Iwentfishing4timeslastmonth?”等等。我會建議使用較這個簡單例子更為復雜的公式,但原理相同。使用這種方法, 用戶現在能擁有一個極強的、易于記憶和易于輸入的密碼,且在每個他們訪問的站點使用不同的密碼。這樣就完美了嗎?當然它還不是。但是它遠勝于 用”123456″這樣的密碼用于30個不同站點。
另一個技巧是盡可能創建唯一的用戶名。盡管許多站點要求用戶以電子郵件地址作為用戶名,但某些金融機構會允許創建特殊的用戶名。如果用戶將他或她的電子郵 件地址設置為所有站點的用戶名(尤其還有著相同密碼),任何一個站點的用戶名信息被泄露,那么追蹤用戶的其他站點信息將變得簡單。對于涉及錢的任何站點使 用唯一用戶名將是一個好辦法,正如在這些關鍵站點使用不同密碼短語字符串。
作為一個安全社區,我們必須做好信息傳達,告訴用戶如何創建好的密碼。我們必須讓用戶了解”123456″并不是一個可行的密碼,而且難于記憶的密碼也是 不必要的。要成功傳遞這條消息意味著,我們自身必須更好地理解密碼的不可預測性。只有到那時,我們才有希望向我們的用戶解釋這條信息。