中青在线版权与免责声明:
   在接受本网站服务之前,请务必仔细阅读下列条款并同意本声明。 1. 凡本网注明"来源:中青在线或中国青年报"的所有作品,版权均属于中青在线或中国青年报社,未经本网授权,不得转载、摘编或以其它方式使用上述作品。 2. 本网授权使用作品的,应在授权范围内使用,并按双方协议注明作品来源。违反上述声明者,中青在线将追究其相关法律责任。 3. 凡本网注明“来源:XXX(非中青在线)”的作品,均转载自其它媒体,转载的目的在于传递更多信息, 并不代表本网赞同其观点和对其真实性负责。 4. 本网站文章仅代表作者本人的观点,不代表本网站的观点和看法,与本网站立场无关,文责作者自负。 5. 如因作品内容、版权和其它问题需要联系的,请在30日内与本网联系。

2012年04月05日 星期四
中青在线

又要安全,又要好记

你有“完美密码”吗?

编译 王紫京 《 青年参考 》( 2012年04月05日   41 版)

    电脑密码需易记又安全,但大部分人的密码只是易记,并不安全。研究者们正在寻找一举两得的办法。

    看看你的密码有多容易破解

    密码是电脑安全防护中极普遍且不可或缺的一部分,但它们却常常起不到保护作用。好的密码必须容易记又不易被破解,可人们在设置密码时似乎更侧重容易记,而非不易破解。

    另一半和孩子的名字被广泛当成密码。还有些人把密码设置得极为简单,如《经济学家》杂志一位前副主编多年来一直用“Z”这一个字母做密码。曾经有黑客从一个叫“RockYou”的社交游戏网站偷盗了3200万个密码,结果发现,这个网站1.1%的用户(36.5万人)使用的密码都是“123456”或“12345”。

    根据密码设置的可预见性,电脑安全研究者(以及黑客)编制了常用密码辞典,这给那些试图破解密码的人提供了方便。但是,即便研究者知道密码是不安全的,也很难弄清楚不安全的程度到底有多高。因为很多研究使用的样本量太小,最多也就是几千个密码。像“RockYou”这样被入侵的网站提供了比较大的样本,然而,在使用他人的密码信息时也存在道德方面的问题。

    近日,牛津大学的约瑟夫·邦努和雅虎公司合作,得到了迄今为止最大的样本——包括7000万个密码的研究样本。虽然样本中的用户都是匿名的,但从中还是能看出这些用户的很多有用信息。

    邦努发现了一些很有意思的现象:年龄较大的用户比年轻顾客的密码安全度要高;说韩语和德语用户的密码安全度最高,说印尼语用户的密码安全度最低;与保护敏感信息如信用卡账户有关的密码只比不太重要的游戏用户密码等安全度略高一点儿;用户注册时出现的密码安全度提示实际上不起什么作用;那些账户曾被入侵过的用户在重置密码时,并不比那些没遇到过此类问题的用户谨慎多少。

    但是最使电脑安全研究者们感兴趣的还是对样本的总体评估。尽管各个用户组的情况不尽相同,但这7000万用户的密码仍然具有很高的可预测性,无论是对于样本整体来说,还是对于单个用户组来说,都可以编制出用于破解密码的词典。邦努坦言:“黑客猜10次就可以破解的密码,大约占到总样本的1%。”从黑客的角度来看,他们的尝试回报率很高。

    一个明显有效的防范措施是,在密码输入一定次数仍不正确后,就禁止用户登录网站,就像ATM机实行的办法一样。虽然一些大型网站如谷歌和微软等,采取了这样的措施,但很多网站并没有这样做。邦努和他的同事在2010年调查了150个大型网站,其中有126个没有限制密码的输入次数。

    为什么会是现在这个状况?原因不明。对于有些网站来说,因为不包含什么特别有价值的东西如信用卡信息需要保护,密码安全可能不是一个十分重要的问题。但是,对密码安全的放任态度会连累那些安全性能好的网站,因为人们通常在若干不同的网站使用同样的密码。

    有一种观点认为,对密码安全的不重视是互联网幼年时期留下的问题,因为那时的学术研究网络不需要担心黑客入侵。还有人认为,很多网站创立之初资金短缺,在电脑安全上采取额外措施会花费大量的程序编制时间和金钱。所以它们从一开始就省略了这个步骤,以后也没有费神去补救。

    不管是什么原因,这种情况使一些人不愿再等待网站采取措施,而是思考替代传统密码的一些办法。

    什么才是“完美密码”

    其中一种替代方法是使用多词口令,即“密词组(Passphrase)”,而非“密词(Password)”。在密码中使用几个词而不只是一个词,使黑客必须猜测更多的字母,这就提高了密码的安全度。但前提是,选取的联词不会被熟练使用某种联词字典的人所破解,而这种可能性总是存在的。

    邦努和他的同事埃克特丽娜·舒托瓦曾分析了购物网站亚马逊所使用的多词口令系统,亚马逊在2009年10月到2012年2月允许它的美国用户使用这个系统。他们发现,虽然多词口令确实比传统密码的安全度更高些,但并不像预期的那样理想。由四五个随机选取的词组成的口令(如天帆、平仄、廉价、泥人)倒是很安全,可要记住它们比记住几个随机选取的单词密码还难。这又一次说明,人们对容易记忆的需要总是使黑客有机可乘。通过搜寻互联网上的词语,如电影名字、体育用语和俗语等,邦努和舒托瓦编篡了一个包括20656个词的词典,借助这个词典,亚马逊数据库中1.13%的用户口令可以被破解。

    研究者们还推测,即便那些不使用著名词组的人,仍然会倾向于使用在日常语言中常见的搭配模式。他们从“英国全国语料库”(牛津大学出版社编篡的包括一亿单词的语库)和谷歌的“N元组”语料库(NGram Corpus,从谷歌网站浏览者的用语中收集的)随机抽取词组,并将它们与亚马逊用户的多词口令样本进行了对比。果不其然,大众英语中常见的单词搭配方式与亚马逊用户选取的多词密码有很多重合之处。在研究者测试的“形容词-名词”组合中,约13%是重合的;“副词-动词”组合的重合率也有5%。

    解决这个问题的办法之一是,综合传统密码和多词口令的各自优点,创造一种“易记密码”。它看起来像是一串毫无意义的字母或符号,但实际上并不难记忆。如,抽取一个句子中每个字的首位字母,区分大小写,并用一些符号替换字母(如用8替换B,用0替代O),我们可以得到这样一个易记密码:aMc0Ttit8(a mnemonic contraction of the text in these brackets,括号中句子的一个易记缩写)。

    不过,这种易记密码也并不是无懈可击的,2006年发表的一项研究表明,借助一本根据歌词、电影名字等编篡的字典,一个易记密码样本中4%的密码能被破解。

    密码安全这个问题可能永远没有完美的解决方案。任何安全措施都是烦人的,人们希望安全,但又希望什么事都简单易行,这两者总是冲突。只要这个冲突存在,黑客就有机可乘。

    英国《经济学家》杂志

分享到:

 

你有“完美密码”吗?
最“热”的iPad
呼吸充电设备
便携基因组测序仪
“半杯”手机套