在科學的幫助下選擇較好的密碼

?滕斐 編譯

近年來，計算機用戶一直都被囑咐說他們應該使用較為複雜的密碼，比如包括數字、標點符號或其他符號以及大小寫字母的密碼。這種密碼非常難記憶，同時他們還被告誡不能將密碼寫下來並且被迫常常更換新的密碼。用戶們都很忠實地遵照了，他們將密碼的第一個字母大寫、在密碼中加入1或出生年份，或者以感嘆號來作為密碼的結尾。

但其實如果不將密碼寫下來的話，大部分人記不住如此多的密碼，所以他們便重複使用幾個密碼。而當他們被要求修改密碼時，他們會在密碼中多加一個「1」或者多加一個「！」。這些處理複雜密碼的簡單步驟都較為常見，以致於這種密碼其實更容易遭受黑客攻擊。

基於對密碼安全性的調查，一些科學家了解到，這幾年來大部分密碼設置的建議實際上都不是基於科學知識給出的。為了處理這個問題，科學家們進行了密碼要求對其安全性和可用性影響的相關實驗。聯邦政府最近修改了他們對密碼設置的建議，這與一些研究發現也相呼應。

保護密碼不受黑客的盜取

科學家們花費了數年時間對解密方法的運行進行了建模，這有助於我們更好地了解黑客是如何猜到密碼的，也有助於建立一種精確的密碼強度的量化方法。試圖破解人們密碼的黑客其實不僅僅只是坐在電腦前猜測人們的密碼是什麼，許多網路攻擊者已經能夠從大公司中竊取全部的密碼數據。比如，類似事件曾經發生在雅虎、LinkedIn、Adobe、阿什利·麥迪遜和許多其他公司。但密碼本身就是為了安全而設置的，所以黑客們不得不絞盡腦汁來解譯密碼。電腦程序可以讓他們在幾小時內得出幾百萬甚至幾億種密碼的可能性。

他們開始可能會先猜測是不是最流行的密碼或者是最流行的詞語，然後加入1，再加入其他的數字和標點符號，或者將第一個字母大寫等進行諸如此類的嘗試。最終結果就是，複雜的密碼其實也並沒能免受黑客攻擊。

更糟糕的是，一旦黑客破譯了一個用戶的某一賬戶密碼，他通常會嘗試用該密碼去破譯該用戶的其他賬戶。因為用戶會傾向於重複使用同一密碼，因此黑客的這種破譯密碼的方法通常屢試不爽。如果黑客破解了你八年前註冊的某網站的密碼而且你已經忘記了這個密碼，那麼他現在也能夠進入到你的郵箱賬戶、社交網路賬戶以及你的銀行賬戶。

以上提及的這些計算機能力都會用在破解賬戶密碼上，這意味著用戶需要使用人們難以猜測的密碼：密碼需要足夠複雜使得計算機不能將其破譯出來。

人們對密碼強度認知的測試

在查中，科學家先是教會了大家如何運用對密碼安全的新認知，然後組織五萬多人參加在線測試。在這個測試中，每人設置一個密碼，每個密碼都符合隨機分配的原則。在這些密碼中，每個密碼最少為12個字元或者必須包括大小寫字母、數字和標點符號。科學家們測試了所有密碼的安全強度、參與者在幾天後是否還能記住密碼等。同時也分析了科學家們所在的大學的學生和教職工設置的賬戶密碼。

對數據的研究表明，人們對密碼有許多錯誤的認知，比如他們覺得在密碼的末尾加一個數字或者感嘆號會使密碼安全程度更強。這個問題普遍存在，所以科學家們創建了一個在線問答遊戲來儘力幫助大家消除這些錯誤的認知。

此外，研究數據表明，長密碼（最少12個字元）比複雜密碼其實更安全。同時也了解到，雖然一些用戶設置的是長密碼，但仍然比較容易猜測，比如「passwordpassword」或者「xxxxxxxxxxxx」這種密碼。

科學家們還了解到，當人們在設置密碼時，給他們一個反饋有助於增強他們對密碼強度的理解。通常來說，這個反饋採用的是被稱為「密碼錶」——彩色編碼信號的形式，它可以表明人們設置的密碼安全程度的強弱。

網路上大部分的密碼錶給出的都是不精確的密碼得分，有時候甚至給出不合理的建議。因此科學家建立了一種利用人工神經網路來估量密碼強度的密碼錶，它基於對其他數百萬種密碼的分析。除此之外，如果它識別到了安全強度較差的密碼，會即刻給出使其安全強度更高的建議。例如，如果一位用戶在密碼結尾設置的都是數字，那麼系統會建議這位用戶將數字移到密碼中間。

設置安全強度更高的密碼

這些研究可以給密碼設置提出一些更為明確的建議，使得密碼可以有效地保護用戶賬戶中的數據。其中最重要的一點是使用密碼管理器來生成長而無規律的密碼，並且密碼管理器可以記錄你的密碼。

如果你自己設置密碼，以下幾點建議值得參考：

密碼長度至少為12個字元，並且最好混用至少兩或三種類型的字元（大小寫字母、數字、標點符號），盡量讓密碼不容易被猜到。而且開頭不要設置為大寫字母或者數字，末尾不要設置為標點符號。

盡量不要在密碼中加入身邊人或者寵物的名字以及居住的地名、你喜歡的體育隊伍的名字或者團體的名字，或者出生日期。避免使用常用短語（尤其是任何語言中關於愛的詞語）和歌詞。不要使用諸如「abc」、「123」以及「1qazxsw2」這種密碼。

還有一種設置高安全強度密碼的方法——自己編一個沒有人說過的句子，用每個單詞的首字母或者前兩個字母作為你的密碼，同時加入其他類型的字元。

或許很多人都更傾向於重複利用設置過的密碼，但特別重要的賬戶千萬不要這麼做。最好是把你的密碼寫在一個安全的地方，如果你有的密碼記不住，那麼你可以嘗試使用一下密碼管理器。

你也可以不用把密碼設置得很複雜，可以使用雙重驗證的方法（如果可以的話）來保護你的賬戶。其實雙重驗證的方法比大多數人想像得要簡單得多。

總而言之，密碼設置確實是我們生活中一個令人困擾的問題，且近期不會消弭。儘管過去十年間的密碼安全建議給用戶帶來了許多痛苦而非安全收益，但相關的研究卻幫助科學家找到了設置密碼的合理方法，這些密碼是為大眾服務的，同時也讓我們的賬戶更安全。

點擊展開全文

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！