设置密码是确保人们安全关闭和调出应用程序的一种方式,为数据和信息提供保障。但现实是密码仍然十分重要。电子邮件或社交媒体,网上银行或网络游戏,应用程序或网络服务,这些应用所保持的某种用户数据仍然依赖于密码进行保护。如果用户没有更好地进行加密,那么攻击者将会快速窃取银行帐户并接管网络服务。
人们都知道一些基本常识,例如不能使用“password”这样简单的词汇作为密码。如果可能的话,最好在网上帐户上启用双因素身份验证,通过短信发送密码要比不采取任何措施要好得多,并使用密码管理器来跟踪所有的密码。不幸的是,很多关于密码的建议听起来很合理,但需要一定的场景才能有所实现。以下是一些人们常有的密码误区,需要进行澄清。
密码误区1:密码需要大小写,数字和特殊字符的混合
真相:复杂密码可以提供更多的安全限制。是的,“letmein”是一个糟糕的密码,但是“Password1”,“Abc123”和“Passw0rd”并不会更好,尽管这是字母和数字混合的案例。
根据字典词汇来创建密码是一个糟糕的想法。将一些字母替换为数字或符号也不是一个聪明或独特的想法。密码破解者知道在其查找表中包含“vuln3rabl3”或“trustno1”等字样。事实上,后者这样的密码在2014年已在美国调研机构SplashData公司选出的前25名最常用的密码列表之中。
为了公平起见,使用字母的大小写,数字和特殊字符的混合作为密码要比使用小写字母更强大。虽然精确数字将随着处理能力而变化,但现代计算机只需要两天的时间就可以破解全部为小写字母的8个字符密码(因为有26的8次方或208,827,064,576种可能的组合),而如果采用一个大型僵尸网络破解只需1.8秒。而采用特殊的符号或颠倒的组合等混合的方法有助于减缓破解,
如果字符串并不是随机的,采用字母大小写,数字和特殊字符的所有混合都不会有任何好处。考虑到2015年和2016年,SplashData公司的前25名的名单中出现了“1qaz2wsx”和“1q2w3e4r”这样的密码。用户试图遵循这些规则,但使用顺序的关键变化或常见的模式会破坏这个规则应该完成的好处。密码破解者知道顺序键模式,也可以查看键盘以查找潜在的模式。
但是使用顺序键变化或普通模式破坏了这个规则应该完成的好处。密码破解者知道顺序键模式,也可以查看键盘来寻找潜在的模式。
密码误区2:良好的密码必须非常长
真相:设置的密码当然越长越好,但8到12个字符就足够了。设置更长的密码这并没有错,因为破解长度较短的密码比长度较长的密码的时间要少得多。攻击者尝试破解只有6个字符的密码要比一个8个字符甚至10个字符的密码更容易一些。对于现代计算机来说,使用字母大小写和数字混合的8个字符的密码将需要5.88年的时间来破解,但是采用僵尸网络只需要31分钟。而将密码增加到10个字符,僵尸网络进行破解需要83天。例如"%ZBGbv]8g?"这个 10个字符的密码在电脑上破解可能需要289217年,而采用僵尸网络可能需要3年时间。
人们甚至不需要使用符号和数字,一个40个字符长的混合密码将需要一千多年的时间才能破解。显然,密码较长是一种安全方式(在存储密码之前使用哈希技术也很重要,但这并不重要。)
让人们来考虑一下威胁模型。在这里解决的最大的问题是什么?如果最大的担忧是有人会进入数据库并窃取密码哈希,那么设置非常长而复杂的密码绝对是必要的事情。但企业最关心的是密码重用和网络钓鱼,在这种情况下密码的长度并不重要。如果攻击者已经通过网络钓鱼活动获取了实际的密码,那么密码是8个,20个或者50个字符都无关紧要。攻击者只需复制并粘贴就可以。如果用户被要求输入20个字符的密码,并且没有密码管理器,那么密码将被重用。这是给定的。
需要保护的是什么?这也很重要。对于可能被认为是低风险的东西,也许当地的公共图书馆,采用8个字符的密码就足够了。对于涉及财务事项则需要更长的密码。安全是一个权衡,保护最有价值的帐户和诺克斯级保护。不要重复使用密码,提防钓鱼诈骗,对于许多帐户来说,采用8个字符的密码就足够好。这就是为什么美国国家标准和技术协会(NIST)的最新指南没有任何内容要求密码长度超过8个字符的原因。
还有一个问题:密码太长,用户更容易使用“忘记密码”?并使用基于知识的答案重置密码。那么他人更容易猜出其宠物或其长大的城市的名称,这比猜测其密码要容易得多。
密码误区3:千万不要随意写下密码
真相:更多的是如何去做。而除了使用“password1”作为密码之外,对于密码最不安全的行为是记录密码之后,将其放在不安全的场合。然而,这并不是一个可怕的想法。不要把它写在一个便条上或记在电脑的文本中。而是在写下较长而复杂的密码,放在自己的钱包中,同时还要牢记在脑海中。杀毒软件商Sophos公司的安全专家Chet Wisniewski说,他也会写下重要的密码,并把它们存放在一个保险箱里。
密码误区4:定期强制更改密码提高安全性
真相:这只能让用户更从地选择弱密码。直到最近,要求常规密码更改才是企业安全政策的主要内容。一些组织甚至指定最小密码的位数,防止密码的重复使用和最小数量的字符更改,以确保新密码与前一个密码具有“足够不同”。 强制性的密码更改是有意义的,当人们担心密码可能被泄露或暴露时,强制密码重置是一个好主意。但是,随着时间的推移,人们真的定期更改密码了吗?
美国国家标准和技术协会(NIST)新的建议表明,要让密码安全设置不要过于复杂,因为精心制定的规则使用户更难完成工作,并提高了执行和执行规则的管理和支持成本。定期更改密码听起来不错,但这会让用户更难记住最新的密码。他们通过重复使用密码或创建易于猜测的模式来做出响应(例如从password1,password12,password123等进行切换,就是这样的一个模式)。
