每天都在用的密码,你真的设对了吗?

最好的安全措施是组合使用密码、多重身份验证以及生物特征识别 (如指纹或面部识别)。

撰写密码安全标准的美国专家最近表示自己错了— 该是新方式登场的时候。

以下内容节选自澳大利亚发行量最大的商业周刊之一《INTHEBLACK》。内容经《INTHEBLACK》杂志授权发布,如需转载,敬请联系澳洲会计师公会。

2003年, 时任美国国家标准与技术研究院 (NIST) 的技术经理比利•伯尔(Bill Burr)撰写了一份有关密码安全的简要指南。在指南中,比利•伯尔建议密码最少要有八个字符,含有大小写字母、数字和符号,并且需要定期更新。

比利•伯尔制定的规则不久便被世界各地的众多机构采纳。但时至今日,比利•伯尔却表示自己很后悔作出上述建议,因为这些建议会错误地引导人们选择实际上很容易被黑客破解的密码。

黑客如何破解你的密码?

比利•伯尔的密码规则旨在预防我们所说的暴力解码。暴力解码是指,黑客仅使用计算机的运算能力来尝试所有不同组合的密码,直至找到正确的组合。通过增加密码组合的长度,比利•伯尔密码规则可以使攻击者需要尝试的组合数量呈指数级增长。

以采用八位密码 (例如就是password) 为例。如果仅仅使用小写字母,可能的组合方式有26的八次方种,约2088亿。这听起来似乎是一个很大的数量,但如果你意识到对于一台现代超级计算机或者僵尸网络而言,破解这样的密码只需要1.8秒,可能你就不会这么想了。

如果增加大写字母 (例如PassWord),组合数量会乘以256倍,达到52的八次方种。如果增加数字和符号 (例如[email protected]$$w0rd),组合数量就会达到95的八次方种,这样即便拥有大规模的僵尸网络,也需要更多的时间才能破解。

但问题在于如今的黑客们已经很少会单纯地使用暴力解码的方式来破解你的密码,新南威尔士大学计算机科学与工程学院的赫尔诺特•海瑟(Gernot Heiser)教授表示。

事实上,现在的黑客们会首先搜索英文单词加上常见的替换符号,例如用$替换S。这样他们就能够非常容易破解用户根据比利•伯尔的规则绞尽脑汁设置的密码,如[email protected]$。

那么,如何选择难以破解的密码?

赫尔诺特•海瑟教授认为,解决方案之一是使用更长但容易记忆的短语作为密码,而不是一个单词。理想情况下,这些短语应该是一些出人意料的单词构成的独特组合,而不是一句可预测的英文语句。增加的字符越多,破解所需的时间也就越长。

赫尔诺特•海瑟教授表示:“如果你选择使用随机单词构成更长、更复杂的密码短语,暴力解码就会在数学意义上变得更加困难。”

他还认为比利•伯尔当年有关定期更换密码的建议绝对是画蛇添足,那只会让用户选择更短、更简单的密码,以便可以通过相对简单的变化更改密码 (例如,1月份使用[email protected],到了2月份就换成[email protected])。

赫尔诺特•海瑟教授解释说:“通过更改密码增加保护强度只会起到反作用。更安全的做法是使用更长、更复杂的密码而不是定期更换简单的密码,因为仅对那些方便记忆的密码做微小变化,会使密码更容易遭到破解。”

引入密码管理器

我们的生活越来越离不开网络,因此需要用到越来越多的密码。然而在不同的网站上使用相同的密码是非常危险,因为一旦某个相对不太安全的服务提供商发生数据泄露,就会导致其他重要网站上的帐户处于几乎完全不设防的状态。那么,如何才能记住所有密码?

皇家墨尔本理工大学工程学院副教授马克•格雷格从上世纪90年代开始就一直采用以下方式:将所有密码保存在一个文本文件中,然后加密该文件。

马克•格雷格表示:“我现在大概有1000个密码,不可能全都记住。但是通过加密密码文件,我只需要记住一个超级密码,就能获取所有密码。” 

现在也可以使用在线获得的密码管理系统来管理自己的密码。这些系统将个人的所有密码保存在一个地点并进行加密,只需记住一个访问系统的密码,密码管理系统就会处理其余的工作。优质密码管理器通常会收取一定的年费。不过在马克•格雷格看来,相比犯罪分子访问个人的数据、假冒身份或是进入银行账户而造成的巨大破坏,这点费用根本微不足道。

如何增强密码的安全性

网络安全公司Mandiant威胁情报与网络防御领域首席顾问、澳大利亚网络安全中心讲师马修•拜恩(Matthew Byrne)建议,可考虑添加另一种保护机制来增强密码安全性,如启用大多数网上银行等大型服务提供商提供的多重身份验证选项。

马修•拜恩解释说:“使用多重身份验证功能意味着你至少要两个步骤才能访问自己的信息。这包括输入你手机上收到的验证码,或者回答仅有你才知道的安全问题。因此就算有人破解了你的密码,也没法直接侵入你的账户并假冒你的身份”。

赫尔诺特•海瑟和马修•拜恩均认为,最佳的安全措施是结合使用密码、多重身份验证以及生物特征识别 (如指纹或面部识别)。这样可以有效地构建一条黑客难以攻破的防线------虽然这依然不是万无一失的。

你必须了解的十大最糟糕密码

以下10个密码,截选自SpalshData发布的2017年一百个最糟糕的密码。该10个密码均遭到黑客破解的密码,易破解程度从高到低排列:

123456
password
qwerty
letmein
football
iloveyou
admin
welcome
monkey
login

如果想了解更多有关密码设置与风险防范的内容,请点击这里,阅读英文原文。


Like what you're reading? Enter your email to receive the fortnightly INTHEBLACK e-newsletter.
Like what you're reading? Enter your email to receive the fortnightly INTHEBLACK e-newsletter.
April 2020
April 2020

Read the April 2020 issue of INTHEBLACK magazine.

Each month we select the must-reads from the current issue of INTHEBLACK. Read more now.

CONTENTS