設置密碼是确保人們安全關閉和調出應用程序的一(yī)種方式,爲數據和信息提供保障。但現實是密碼仍然十分(fēn)重要。電(diàn)子郵件或社交媒體(tǐ),網上銀行或網絡遊戲,應用程序或網絡服務,這些應用所保持的某種用戶數據仍然依賴于密碼進行保護。如果用戶沒有更好地進行加密,那麽攻擊者将會快速竊取銀行帳戶并接管網絡服務。
人們都知(zhī)道一(yī)些基本常識,例如不能使用“password”這樣簡單的詞彙作爲密碼。如果可能的話(huà),最好在網上帳戶上啓用雙因素身份驗證,通過短信發送密碼要比不采取任何措施要好得多,并使用密碼管理器來跟蹤所有的密碼。不幸的是,很多關于密碼的建議聽(tīng)起來很合理,但需要一(yī)定的場景才能有所實現。以下(xià)是一(yī)些人們常有的密碼誤區,需要進行澄清。
密碼誤區1:密碼需要大(dà)小(xiǎo)寫,數字和特殊字符的混合
真相:複雜(zá)密碼可以提供更多的安全限制。是的,“letmein”是一(yī)個糟糕的密碼,但是“Password1”,“Abc123”和“Passw0rd”并不會更好,盡管這是字母和數字混合的案例。
根據字典詞彙來創建密碼是一(yī)個糟糕的想法。将一(yī)些字母替換爲數字或符号也不是一(yī)個聰明或獨特的想法。密碼破解者知(zhī)道在其查找表中(zhōng)包含“vuln3rabl3”或“trustno1”等字樣。事實上,後者這樣的密碼在2014年已在美國調研機構SplashData公司選出的前25名最常用的密碼列表之中(zhōng)。
爲了公平起見,使用字母的大(dà)小(xiǎo)寫,數字和特殊字符的混合作爲密碼要比使用小(xiǎo)寫字母更強大(dà)。雖然精确數字将随着處理能力而變化,但現代計算機隻需要兩天的時間就可以破解全部爲小(xiǎo)寫字母的8個字符密碼(因爲有26的8次方或208,827,064,576種可能的組合),而如果采用一(yī)個大(dà)型僵屍網絡破解隻需1.8秒。而采用特殊的符号或颠倒的組合等混合的方法有助于減緩破解,
如果字符串并不是随機的,采用字母大(dà)小(xiǎo)寫,數字和特殊字符的所有混合都不會有任何好處。考慮到2015年和2016年,SplashData公司的前25名的名單中(zhōng)出現了“1qaz2wsx”和“1q2w3e4r”這樣的密碼。用戶試圖遵循這些規則,但使用順序的關鍵變化或常見的模式會破壞這個規則應該完成的好處。密碼破解者知(zhī)道順序鍵模式,也可以查看鍵盤以查找潛在的模式。
但是使用順序鍵變化或普通模式破壞了這個規則應該完成的好處。密碼破解者知(zhī)道順序鍵模式,也可以查看鍵盤來尋找潛在的模式。
密碼誤區2:良好的密碼必須非常長
真相:設置的密碼當然越長越好,但8到12個字符就足夠了。設置更長的密碼這并沒有錯,因爲破解長度較短的密碼比長度較長的密碼的時間要少得多。攻擊者嘗試破解隻有6個字符的密碼要比一(yī)個8個字符甚至10個字符的密碼更容易一(yī)些。對于現代計算機來說,使用字母大(dà)小(xiǎo)寫和數字混合的8個字符的密碼将需要5.88年的時間來破解,但是采用僵屍網絡隻需要31分(fēn)鍾。而将密碼增加到10個字符,僵屍網絡進行破解需要83天。例如"%ZBGbv]8g?"這個 10個字符的密碼在電(diàn)腦上破解可能需要289217年,而采用僵屍網絡可能需要3年時間。
人們甚至不需要使用符号和數字,一(yī)個40個字符長的混合密碼将需要一(yī)千多年的時間才能破解。顯然,密碼較長是一(yī)種安全方式(在存儲密碼之前使用哈希技術也很重要,但這并不重要。)
讓人們來考慮一(yī)下(xià)威脅模型。在這裏解決的最大(dà)的問題是什麽?如果最大(dà)的擔憂是有人會進入數據庫并竊取密碼哈希,那麽設置非常長而複雜(zá)的密碼絕對是必要的事情。但企業最關心的是密碼重用和網絡釣魚,在這種情況下(xià)密碼的長度并不重要。如果攻擊者已經通過網絡釣魚活動獲取了實際的密碼,那麽密碼是8個,20個或者50個字符都無關緊要。攻擊者隻需複制并粘貼就可以。如果用戶被要求輸入20個字符的密碼,并且沒有密碼管理器,那麽密碼将被重用。這是給定的。
需要保護的是什麽?這也很重要。對于可能被認爲是低風險的東西,也許當地的公共圖書(shū)館,采用8個字符的密碼就足夠了。對于涉及财務事項則需要更長的密碼。安全是一(yī)個權衡,保護最有價值的帳戶和諾克斯級保護。不要重複使用密碼,提防釣魚詐騙,對于許多帳戶來說,采用8個字符的密碼就足夠好。這就是爲什麽美國國家标準和技術協會(NIST)的最新指南(nán)沒有任何内容要求密碼長度超過8個字符的原因。
還有一(yī)個問題:密碼太長,用戶更容易使用“忘記密碼”?并使用基于知(zhī)識的答案重置密碼。那麽他人更容易猜出其寵物(wù)或其長大(dà)的城市的名稱,這比猜測其密碼要容易得多。
密碼誤區3:千萬不要随意寫下(xià)密碼
真相:更多的是如何去(qù)做。而除了使用“password1”作爲密碼之外(wài),對于密碼最不安全的行爲是記錄密碼之後,将其放(fàng)在不安全的場合。然而,這并不是一(yī)個可怕的想法。不要把它寫在一(yī)個便條上或記在電(diàn)腦的文本中(zhōng)。而是在寫下(xià)較長而複雜(zá)的密碼,放(fàng)在自己的錢包中(zhōng),同時還要牢記在腦海中(zhōng)。殺毒軟件商(shāng)Sophos公司的安全專家Chet Wisniewski說,他也會寫下(xià)重要的密碼,并把它們存放(fàng)在一(yī)個保險箱裏。
密碼誤區4:定期強制更改密碼提高安全性
真相:這隻能讓用戶更從地選擇弱密碼。直到最近,要求常規密碼更改才是企業安全政策的主要内容。一(yī)些組織甚至指定最小(xiǎo)密碼的位數,防止密碼的重複使用和最小(xiǎo)數量的字符更改,以确保新密碼與前一(yī)個密碼具有“足夠不同”。 強制性的密碼更改是有意義的,當人們擔心密碼可能被洩露或暴露時,強制密碼重置是一(yī)個好主意。但是,随着時間的推移,人們真的定期更改密碼了嗎(ma)?
美國國家标準和技術協會(NIST)新的建議表明,要讓密碼安全設置不要過于複雜(zá),因爲精心制定的規則使用戶更難完成工(gōng)作,并提高了執行和執行規則的管理和支持成本。定期更改密碼聽(tīng)起來不錯,但這會讓用戶更難記住最新的密碼。他們通過重複使用密碼或創建易于猜測的模式來做出響應(例如從password1,password12,password123等進行切換,就是這樣的一(yī)個模式)。
上一(yī)篇:安全研究人員(yuán)發現了漏洞到底該不該分(fēn)享出來?
下(xià)一(yī)篇:别成爲那頭鲸魚:怎樣檢測BEC欺詐