近日,在拉斯维加斯的BSides信息安全峰会上,Lorrie Cranor炮轰了一条FTC(美国联邦贸易委员会)官方的推特。她说到:“我看了这条推特,而且当时我就说了‘为什么FTC会告诉人们要经常改密码?’”
她还补充到:“而且当我问社交媒体上的人们为什么要这样做时,他们还说‘因为FTC官方推特都这样说了,所以一定要经常改密码。’”
显然这位在今年1月份才成为美国联邦贸易委员会CTO的卡耐基梅隆大学教授有些生气,并且在访谈中,Cranor教授提供了一份来自北卡罗莱纳大学教堂山分校,2010年对现代密码的研究论文。
该论文通过算法架构和实证分析的结合,证明了Cranor的观点。
我们需要一个又长又复杂又独特的密码
Cranor在采访中说到:“多数人被要求换密码,那么他们做的大多都是用他们的旧密码,或者稍微改动一下。”这些小改动可能是将小写转换成大写,或者额外增加几个字母。研究者把所有的这些改动称之为“转变”,并且把“转变”记录在脚本和破解程序中。
通过这份论文我们可以看到,北卡罗来纳大学教堂山分校的研究者们把7700份账户中的“转变”进行研究,发现这些“转变”全部都是有规律的。他们认为袭击者很有可能关注用户的小细节,从而通过破解程序得到密码。
此处应该有一些疑问,如果用户意识到了自己的“转变”出现规律或者意义不大,那么他们是否会注意调整?答案是会的,但是这就出现了第二个问题,密码丢失。仍然是在这份调查中,当用户的“转变”过大时,很大一定几率就会出现遗忘等用户自身造成的密码丢失。
尤其是账户中涉及货币以及银行账户相关联等事项,那么找回密码的过程就会变得更加繁琐。而且这类账户找回密码是受到限制的,短期内不可重复。如果连续丢失,那么对用户造成的影响可能会很大。
因此综上所述,与其定期修改密码,不如从一开始就选择一个又长又复杂又独特的密码。仍然是在这份论文之中,当用户使用$符号来代替字母s的时候,被键索的概率就会明显下降。所以论文中建议用户使用密码:
超过8位数
包含大小写
包含!@#$%^&*<>这些需要按Shift键才能得到的字符
不能出现反斜线、连字符好、空格以及双角字符
不过在技术飞跃发展的今天,显然现有的保护措施都是不够的。所以有人提出了一些新的密码保护手段。
击键动力学
每个人使用电脑去录入同一段内容的速度和按键时间都是不一样的,所以就引入了击键动力学的概念。
经过调查,当用户A去输入一段密码时,他所使用的时间,以及每个按键之间的间隔都是唯一的,绝对不会被轻易模仿。这种时间和间隔的形成都是出自于意识,所以,当袭击者刻意去模仿的时候,往往不能通过检测。其安全性远高于传统密码。
目前为止,我国也有一部分相关技术人员在从事研究。但是碰到的问题很多,比如当研究到一定程度的时候就会发现,键位间隔,按键材质,键盘大小都能明显地影响用户输入时间和间隔。如此一来便偏离了击键动力学的本意,而且这样会让同一个用户的检测通过率受到影响,机器判断平衡点就需要降低。
但是一旦降低了,袭击者的相对通过率就会升高,其安全系数也会随着降低。到最后的结果就是,自己用自己造出来的一套包含击键动力学的键盘和程序去录入自己平时的密码,得到“不通过”,别人用这套时却能“通过”。很尴尬。
无独有偶
其实除了Cranor炮轰过定期更换密码一事以外,译码破解者Bruce Schneier也提出过类似的质疑。“我都已经说了好几年了,这样做(定期更换密码)总会出现简单密码。”他在上周五说到。
通过各路大神的努力,FTC现在已经不会在定期更换密码了,不过不能保证其他人会这么做。实际上,定期更换密码并不是绝对会出现安全问题,而是持续进行时会存在隐患。无论是规律也好,还是过于简单的密码,亦或者是丢失,对于用户来说都不是什么好事。
此外,现在多平台单入口的现象已经非常广泛了。如某平台账号可以登录各种O2O,社交,知识分享等多个站点,那么就应该更加重视密码的作用。一旦被破解,那么相关联的平台网站账号都将会受到或大或小的影响。
然而我的账号里并没有什么好盗取的。