在互联网还未迅速崛起时,只要记得银行卡的密码就好了;而如今除了银行卡密码,你还需要记住许许多多的密码,如网银密码,QQ、微信等社交网站密码,知乎等问答平台密码。而这些平台在你设置密码时或是登陆时常会提醒,为了安全期间请定期修改密码。定期更换密码真的好吗?
近日,在拉斯维加斯的BSides信息安全峰会上,卡耐基梅隆大学教授Lorrie Cranor炮轰了一条FTC(美国联邦贸易委员会)官方的推特。她说到:“我看了这条推特,而且当时我就说了‘为什么FTC会告诉人们要经常改密码?’”并补充道,“而且当我问社交媒体上的人们为什么要这样做时,他们还说‘因为FTC官方推特都这样说了,所以一定要经常改密码。’”显然这位教授很生气FTC告诉人们要经常修改密码的做法。并在采访中提供了一份来自北卡罗莱纳大学教堂山分校,2010年对现代密码的研究论文。该论文通过算法架构和实证分析的结合,证明了Cranor的观点。
在采访中,Cranor表示,“多数人被要求换密码,那么他们做的大多都是用他们的旧密码,或者稍微改动一下。”这些小改动可能是将小写转换成大写,或者额外增加几个字母。研究者把所有的这些改动称之为“转变”,并且把“转变”记录在脚本和破解程序中。
北卡罗来纳大学教堂山分校的研究者们把7700份账户中的“转变”进行研究,发现这些“转变”全部都是有规律的。他们认为袭击者很有可能关注用户的小细节,从而通过破解程序得到密码。
论文建议:与其定期修改密码,不如从一开始就选择一个又长又复杂又独特的密码。仍然是在这份论文之中,当用户使用$符号来代替字母s的时候,被键索的概率就会明显下降。所以论文中建议用户使用密码:超过8位数;包含大小写;包含!@#$%^&*<>这些需要按Shift键才能得到的字符;不能出现反斜线、连字符好、空格以及双角字符。
其实除了Cranor炮轰过定期更换密码一事以外,译码破解者Bruce Schneier也提出过类似的质疑,“我都已经说了好几年了,这样做(定期更换密码)总会出现简单密码。”现今FTC在各路大神的努力下,已经不会在定期更换密码了,不过不能保证其他人会这么做。实际上,定期更换密码并不是绝对会出现安全问题,而是持续进行时会存在隐患。无论是规律也好,还是过于简单的密码,亦或者是丢失,对于用户来说都不是什么好事。
除了Cranor教授建议使用的一个又长又复杂的有独特的密码外,还提出了击键动力学。
击键动力学因每个人使用电脑去录入同一段内容的速度和按键时间都是不一样而提出的。经过调查,当用户A去输入一段密码时,他所使用的时间,以及每个按键之间的间隔都是唯一的,绝对不会被轻易模仿。这种时间和间隔的形成都是出自于意识,所以,当袭击者刻意去模仿的时候,往往不能通过检测。其安全性远高于传统密码。
不管是一开始就设置又长又复杂有独特的密码,还是击键动力学来保护密码,现在的平台单入口已经十分广泛了,加强密码的保护,重视密码的作用才是关键。密码一旦被破译,相关联的平台受到的影响可大可小。
【相关阅读】
【版权声明】行行出状元平台欢迎各方(自)媒体、机构转载、引用我们原创内容,但要严格注明来源:;同时,我们倡导尊重与保护知识产权,如发现本站内容存在版权问题,烦请提供版权疑问、身份证明、版权证明、联系方式等发邮件至service@hhczy.com,我们将及时沟通与处理。
