中文版 |English

设为首页 加入收藏

主页 > 中心动态 >

在科学的帮助下选择较好的密码

时间:2017-09-15 11:45  来源:科普所   作者:滕斐 编译   点击:
·         滕斐 编译
 
近年来,计算机用户一直都被嘱咐说他们应该使用较为复杂的密码,比如包括数字、标点符号或其他符号以及大小写字母的密码。这种密码非常难记忆,同时他们还被告诫不能将密码写下来并且被迫常常更换新的密码。用户们都很忠实地遵照了,他们将密码的第一个字母大写、在密码中加入1或出生年份,或者以感叹号来作为密码的结尾。
 
但其实如果不将密码写下来的话,大部分人记不住如此多的密码,所以他们便重复使用几个密码。而当他们被要求修改密码时,他们会在密码中多加一个“1”或者多加一个“!”。这些处理复杂密码的简单步骤都较为常见,以致于这种密码其实更容易遭受黑客攻击。
 
基于对密码安全性的调查,一些科学家了解到,这几年来大部分密码设置的建议实际上都不是基于科学知识给出的。为了处理这个问题,科学家们进行了密码要求对其安全性和可用性影响的相关实验。联邦政府最近修改了他们对密码设置的建议,这与一些研究发现也相呼应。
 
保护密码不受黑客的盗取
 
科学家们花费了数年时间对解密方法的运行进行了建模,这有助于我们更好地了解黑客是如何猜到密码的,也有助于建立一种精确的密码强度的量化方法。试图破解人们密码的黑客其实不仅仅只是坐在电脑前猜测人们的密码是什么,许多网络攻击者已经能够从大公司中窃取全部的密码数据。比如,类似事件曾经发生在雅虎、LinkedIn、Adobe、阿什利·麦迪逊和许多其他公司。但密码本身就是为了安全而设置的,所以黑客们不得不绞尽脑汁来解译密码。电脑程序可以让他们在几小时内得出几百万甚至几亿种密码的可能性。
 
他们开始可能会先猜测是不是最流行的密码或者是最流行的词语,然后加入1,再加入其他的数字和标点符号,或者将第一个字母大写等进行诸如此类的尝试。最终结果就是,复杂的密码其实也并没能免受黑客攻击。
 
更糟糕的是,一旦黑客破译了一个用户的某一账户密码,他通常会尝试用该密码去破译该用户的其他账户。因为用户会倾向于重复使用同一密码,因此黑客的这种破译密码的方法通常屡试不爽。如果黑客破解了你八年前注册的某网站的密码而且你已经忘记了这个密码,那么他现在也能够进入到你的邮箱账户、社交网络账户以及你的银行账户。
 
以上提及的这些计算机能力都会用在破解账户密码上,这意味着用户需要使用人们难以猜测的密码:密码需要足够复杂使得计算机不能将其破译出来。
 
人们对密码强度认知的测试
 
在查中,科学家先是教会了大家如何运用对密码安全的新认知,然后组织五万多人参加在线测试。在这个测试中,每人设置一个密码,每个密码都符合随机分配的原则。在这些密码中,每个密码最少为12个字符或者必须包括大小写字母、数字和标点符号。科学家们测试了所有密码的安全强度、参与者在几天后是否还能记住密码等。同时也分析了科学家们所在的大学的学生和教职工设置的账户密码。
 
对数据的研究表明,人们对密码有许多错误的认知,比如他们觉得在密码的末尾加一个数字或者感叹号会使密码安全程度更强。这个问题普遍存在,所以科学家们创建了一个在线问答游戏来尽力帮助大家消除这些错误的认知。
 
此外,研究数据表明,长密码(最少12个字符)比复杂密码其实更安全。同时也了解到,虽然一些用户设置的是长密码,但仍然比较容易猜测,比如“passwordpassword”或者“xxxxxxxxxxxx”这种密码。
 
科学家们还了解到,当人们在设置密码时,给他们一个反馈有助于增强他们对密码强度的理解。通常来说,这个反馈采用的是被称为“密码表”——彩色编码信号的形式,它可以表明人们设置的密码安全程度的强弱。
 
网络上大部分的密码表给出的都是不精确的密码得分,有时候甚至给出不合理的建议。因此科学家建立了一种利用人工神经网络来估量密码强度的密码表,它基于对其他数百万种密码的分析。除此之外,如果它识别到了安全强度较差的密码,会即刻给出使其安全强度更高的建议。例如,如果一位用户在密码结尾设置的都是数字,那么系统会建议这位用户将数字移到密码中间。
 
设置安全强度更高的密码
 
这些研究可以给密码设置提出一些更为明确的建议,使得密码可以有效地保护用户账户中的数据。其中最重要的一点是使用密码管理器来生成长而无规律的密码,并且密码管理器可以记录你的密码。
如果你自己设置密码,以下几点建议值得参考:
 
密码长度至少为12个字符,并且最好混用至少两或三种类型的字符(大小写字母、数字、标点符号),尽量让密码不容易被猜到。而且开头不要设置为大写字母或者数字,末尾不要设置为标点符号。
 
尽量不要在密码中加入身边人或者宠物的名字以及居住的地名、你喜欢的体育队伍的名字或者团体的名字,或者出生日期。避免使用常用短语(尤其是任何语言中关于爱的词语)和歌词。不要使用诸如“abc”、“123”以及“1qazxsw2”这种密码。
 
还有一种设置高安全强度密码的方法——自己编一个没有人说过的句子,用每个单词的首字母或者前两个字母作为你的密码,同时加入其他类型的字符。
 
或许很多人都更倾向于重复利用设置过的密码,但特别重要的账户千万不要这么做。最好是把你的密码写在一个安全的地方,如果你有的密码记不住,那么你可以尝试使用一下密码管理器。
 
你也可以不用把密码设置得很复杂,可以使用双重验证的方法(如果可以的话)来保护你的账户。其实双重验证的方法比大多数人想象得要简单得多。
 
总而言之,密码设置确实是我们生活中一个令人困扰的问题,且近期不会消弭。尽管过去十年间的密码安全建议给用户带来了许多痛苦而非安全收益,但相关的研究却帮助科学家找到了设置密码的合理方法,这些密码是为大众服务的,同时也让我们的账户更安全。
 
 
0
热点图片>> more