在科學的幫助下選擇更好的密碼

多年來，計算機用戶常被告知應該擁有複雜的密碼，包含數字、標點符號和其他符號以及大小寫字母。雖然這種密碼很難記憶，但人們也被叮囑不要寫下來，並且要經常變更密碼。用戶們忠實執行了，大寫密碼的第一個字母，加入一個1或者他們的出生年，或者用一個感嘆號結束密碼。

大部分人不把密碼寫下來就無法真正地記住大量密碼，所以他們重複使用少量密碼。當需要變更密碼時，他們就把其中的1增加到2，或者加入另一個感嘆號。這種處理複雜密碼的簡單步驟十分常見，以至於實際上對於攻擊者更簡單了。

credit:123RF

作為密碼安全的研究者，我們早已知曉大部分密碼建議實際上並非基於科學知識。對此，我們進行了密碼安全性和易用性方面的實驗。聯邦政府最近呼應我們的某些研究發現，改變了自身的密碼推薦。

計算機防禦密碼

我們花了多年來建模不同密碼破解方法的工作機制，以此更好地理解攻擊者如何猜測密碼，並據此提出密碼強度的準確度量。試圖攻破網上賬戶的人並不只是坐在電腦前猜幾下而已。很多攻擊者能竊取大型公司的整個密碼資料庫，例如，雅虎、領英、Adobe以及阿什利·麥迪遜都發生過此類事件。為了安全，密碼是東拼西湊而成，所以攻擊者必須進行大量的猜測來解密。但電腦程序可以在幾個小時內作出數百萬或者數十億次猜測。

他們可能最開始猜測所有最流行的密碼和詞典中的字，然後給每個猜測密碼加上1，然後是其他的數字和符號，然後大寫第一個字母，等等。最終的結果就是所有複雜密碼政策都無法阻止，或者甚至真正減緩破解很多用戶的密碼的腳步。

更糟糕的是，一旦攻擊者猜中了用戶某個賬戶的密碼，他就會經常用同樣的密碼去試該用戶的其他賬戶。由於用戶傾向於再次使用密碼，攻擊者很可能會成功。一個破解了你在8年前註冊過現在已經忘了的某個網站的密碼的攻擊者也許現在能進入你的電子郵箱、你的社交網路賬號以及你的銀行賬號。

所有這些被應用於破解密碼的計算能力意味著用戶需要選擇極其難以猜測的密碼：計算機難以搞清楚的密碼。

測試密碼強度概念

我們的研究教會人們如何利用密碼安全概念的新理解。5萬多人參與了我們的網上實驗，每個人都根據隨機分配的要求創建一個密碼：比如，「最少12個字元」或者「必須包含大小寫字母、數字和符號」。我們度量了密碼的實際強度，參與者記住一個密碼幾天的能力和其他指標。我們還分析了我們大學裡的學生、教員和職員創建的實際密碼。

我們的數據表明，人們對密碼有很多誤解，比如在密碼最後加上一個數字或者感嘆號就能使密碼變得更強。這個問題傳播的如此廣泛，以至於我們創建了一個在線智力競賽來幫助驅除某些誤解。

此外，我們的數據表明，鼓勵更長的密碼(12字元以上)比複雜的密碼更重要。同時，我們了解到，某些人創造的長密碼仍然是可預測的，好比「passwordpassword」或者「xxxxxxxxxxxx」。

我們還發現，當人們在創建新密碼時給出反饋有幫助。很多時候這是以「密碼檢查表(password meters)」的形式給出的，即用顏色信號表明所用密碼的強弱。

由於網路上提供的大部分密碼檢查表的評分都不準確，有時候提出的建議有有待商榷，於是我們提出了另一種密碼檢查表，基於數百萬其他密碼的分析，利用人工神經網路計算密碼的強度。此外，當密碼檢查表鑒別出弱密碼時，會立即提供使之變得更強的建議。例如，如果某人把所有數字放在密碼最後，我們的系統可能就會建議將它們移動到中間。

創建強密碼

我們的研究使我們為密碼選擇提出了某些特定的推薦，能為網上賬號和其中所含的數據保駕護航。這個過程中一個關鍵的輔助是使用密碼管理者產生長的隨機密碼，並為你記住。

如果你正在自己創建密碼：

? 密碼至少包含12個字元，並混合含有至少兩到三種字元(小寫字母，大寫字母，數字，符號)，將字元放在難以預測的位置。不要把大寫字母放在密碼起始，或者把數字和符號放在末尾。
? 避免包含人物或者寵物的名字、居住地點、球隊名稱、你喜歡的東西或者生日，避免常見短語(特別是任何語言中任何與「愛」有關的)和歌詞。不要使用模式(「abs」，「123」)，包括鍵盤的模式(「1qazxsw2」)。
? 創建強密碼的一種方法是創造一句從沒人說過的話，然後用每個字的第一個或前兩個字母作為密碼，混以其他類型的字元。

再次使用現有的密碼可能很誘人，但對於任何你關心的賬號都不要這麼做。如果你所擁有的密碼數量超過了記憶的範圍，最好是在一個安全的地方寫下來，或者就用一個密碼管理者。

如果不想讓自己的密碼變得很複雜，那麼在條件允許的情況下，可以使用雙重認證來保護賬號，這比很多人所認為的更簡單。
密碼是網上生活煩人的一部分，但並不會很快消失。雖然過去十年的密碼政策給用戶帶來的傷痛多過安全增益，但我們的研究正幫助尋找創建密碼的新方法，使之對尋常人也有用，同時使我們更安全。

本文譯自 conversation，由譯者 CliffBao 基於創作共用協議(BY-NC)發布。Lorrie Cranor(卡內基梅隆大學)&Blase Ur(芝加哥大學)Lujo Bauer(卡內基梅隆大學)Michelle Mazurek(馬里蘭大學)Nicolas Christin(卡內基梅隆大學)

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！