在计算机安全中,密码可谓是无处不在。但是它们时常难以达到应有的效果。一个好的密码应该既便于记忆又很难被猜出,在实际中人们往往忘记了后者。有的人甚至采用了极端的简易密码——只使用一个字母作为密码。根据黑客从一个称为RockYou的网站窃取的3200万密码资料来看,该网站1.1%的用户,也就是约36.5万人,都使用了“123456”或“12345”作为密码。
这种可预见性为安全研究者以及黑客带来了福音,他们可以通过创建常用密码的字典来进行破解。虽然研究人员知道密码并非牢不可破,但是想要知道它具体的安全程度却十分困难。许多研究采用的密码样本都比较小,最多只有数千条密码。虽然那些在黑客网站上放出的破解知名网站而得到的密码数量都很多,但是将这些用于研究的话在伦理上说不通,其可用性也是未知的。
然而,今年5月将会在电气和电子工程师学会(IEEE)所主办的安全会议上发布的一篇论文可能能为众人阐明这个问题。来自英国剑桥大学的约瑟夫·博诺(Joseph Bonneau)获得了迄今为止最大的密码样本,他与大型互联网公司雅虎合作获得了7000万个样本,虽然数据都是匿名的,但是它能够提供有关其所有者最实用的统计数据。
很快博诺就发现了其中的一些有趣的地方——老年人设置的密码安全性通常要高于年轻人,而其中不乏一些科技水平娴熟的年轻人。使用韩语或德语的用户所选择的密码最为安全,而使用印尼语群的人所设置的密码安全性最低。那些用于敏感信息(如信用卡号码)的密码,其安全性仅比用于次重要信息(如游戏账号)的略微高些。 对于那些选择了不安全密码的用户们,网站通常会用一个“提示窗口”来进行警告,但这一方法收效甚微。甚至对那些帐户曾经被入侵过的用户来说,其密码安全性也并不高于那些账户没被入侵过的用户。
虽然7000万的样本存在着差异性,但是一个通用的密码字典或许就能对整个样本进行有效破解了。博诺表示,“倘若攻击者能够对每个帐户进行10次尝试猜测,那么1%的用户将被危及。”而在黑客眼中,这是一个很可观的结果。
一个明显的应对办法就是限制猜测次数,就像取款机一样,当达到规定猜测次数时用户将被禁止访问。然而除了那些像谷歌、微软这样的大型网站会采取类似的措施,其他许多网站都没有这么做。在2010年,博诺和他的同事检测了150个大网站,结果发现其中126个网站都没有限制猜测次数。有的网站之所以采用如此松懈的管理是因为他们所要保护的资料并没有特别的价值。此外还有一种原因是,很多网站在初始阶段出现了资金短缺的状况,而实施额外的密码安全措施将占用宝贵的编程时间,他们开始就舍不得付出,之后就更懒得改变了。
此外还有一种叫做密码短语的密码设置方式,它采用多个单词组合而不是单个单词来作为密码。这意味着黑客需要猜出更多的字母,因此密码的安全性也更高。当然,这仅限于那些不出现于常用短语字典里的词语,然而实际上人们设置密码时使用的往往都是常用词语。
在2009年10月至2012年2月期间,网络零售商亚马逊的密码短语系统便允许用户使用密码短语口令。博诺和他的同事对其进行了分析,他们发现尽管密码短语的确会比一般密码来的安全,但是结果并非完全达到了预期的效果。一个四到五个随机选择的词语必然十分安全,但是随机选择的词语并不易于记忆,这对黑客而言是一个福音。博诺收集了互联网上的一大堆如电影名、体育短语和俚语等信息,之后建立了一个包含20656个词的字典,而这个字典就能解锁亚马逊数据库中1.13%的账户。
一个解决方案是将密码和密码短语结合起来,形成一种所谓的助记符密码。这是一种看似混乱的字符串,但记起来却并不困难。例如,可以使用单词的首字母,变换大小写,或者使用一些替代符号(比如用“8”代替“B”)。比如说“itaMc0Ttit8”代表的意思就是 “is thus a mnemonic contraction of the text in these brackets”这句话。但即便是助记符密码,也并非无懈可击。在2006年发表的一项研究表明,利用包含歌词、电影名等类似词语的字典可以解开4%的助记符密码样本。
目前人们仍然没有两全其美的答案。所有的安全措施都将使人厌烦,在安全和简约之间一直存在着一个微妙的平衡。只要这个平衡不被打破,那么黑客便有机可乘。
网友评论