盡管經(jīng)常上網(wǎng)的人們已經(jīng)熟知各個(gè)線上服務(wù)對(duì)于密碼強(qiáng)度的規(guī)則要求,但卡內(nèi)基梅隆大學(xué)(CMU)的 CyLab 安全隱私實(shí)驗(yàn)室主任 Lorrie Cranor 認(rèn)為,網(wǎng)站和用戶(hù)其實(shí)都可以做到更好。 據(jù)悉,為了增強(qiáng)被黑客攻破的難度,許多情況下,線上服務(wù)都會(huì)要求用戶(hù)輸入至少 8 個(gè)(或 10~12 個(gè))字符的密碼,并混用大小寫(xiě)字母、數(shù)字、以及特殊符號(hào)。
資料圖
舉個(gè)例子,如果要求在密碼中混入數(shù)字,很多人可能旨在末位加個(gè)“1”。如果要求標(biāo)點(diǎn)的話,可能只會(huì)多個(gè)感嘆號(hào)“!”。如果需要大寫(xiě)的話,那可能首字母就是個(gè)大寫(xiě)。
然而 CMU 研究人員指出,這并不能讓你的密碼變得“更強(qiáng)”。為此,該研究團(tuán)隊(duì)提出了一套新方案 在輸入了最低字符數(shù)后,安全檢查儀表板可給出更科學(xué)的建議。
通過(guò)持續(xù)數(shù)年的研究,這些技巧可讓密碼強(qiáng)度計(jì)和其它評(píng)估系統(tǒng)更好地工作(通常用顏色來(lái)區(qū)分密碼強(qiáng)弱),比如使用斜杠或隨機(jī)字母來(lái)分隔常用單詞,以便用戶(hù)跳過(guò)常見(jiàn)的密碼設(shè)置陷阱。
在一項(xiàng)實(shí)驗(yàn)中,用戶(hù)被要求創(chuàng)建至少包含 10 個(gè)字符的密碼,然后研究人員借助密碼強(qiáng)度計(jì)對(duì)其展開(kāi)評(píng)估。
結(jié)果表明,盡管許多人在設(shè)置密碼時(shí)符合了安全檢查的所有要求,但還是很容易被猜破,因?yàn)榇蠖鄶?shù)人都遵循著相同的思維模式。
在 11 月的 ACM 計(jì)算機(jī)和通信安全會(huì)議上,Lorrie Cranor 與研究合著者 Joshua Tan、Lujo Bauer、Nicolas Christin 介紹了他們的最新發(fā)現(xiàn),并希望有關(guān)方面能夠采納他們的建議。
不過(guò)就算最佳的線上服務(wù)密碼設(shè)置方案,可能還不如用一款靠譜的密碼管理器,來(lái)創(chuàng)建和記住分別針對(duì)每一個(gè)網(wǎng)站的隨機(jī)、超長(zhǎng)、高強(qiáng)度密碼來(lái)得管用。
【來(lái)源:cnBeta.COM】