近期一項(xiàng)來自加拿大康考迪亞大學(xué)的調(diào)研顯示����,我們?nèi)粘J褂玫暮芏嘀W(wǎng)站的密碼安全強(qiáng)度指標(biāo)可能會(huì)令用戶誤入歧途。
近期一項(xiàng)來自加拿大康考迪亞大學(xué)的調(diào)研顯示����,我們?nèi)粘J褂玫暮芏嘀W(wǎng)站的密碼安全強(qiáng)度指標(biāo)可能會(huì)令用戶誤入歧途。
如果你現(xiàn)在還在通過密碼安全強(qiáng)度指標(biāo)來判斷自己的密碼安全強(qiáng)度����,興許這并非什么好事。加拿大魁北克省的康考迪亞大學(xué)最近一項(xiàng)研究結(jié)果顯示�,目前密碼安全強(qiáng)度測(cè)定方式高度不一致或許會(huì)讓用戶誤入歧途。
大量實(shí)證分析結(jié)果表示����,目前常用的密碼安全強(qiáng)度指標(biāo)高度不一致�����,無法提供連貫的反饋,有的時(shí)候甚至?xí)@而易見地令用戶誤入歧途�。
就全球訪問量超高的網(wǎng)站以及知名的密碼管理工具所采用的密碼安全強(qiáng)度指標(biāo),康考迪亞大學(xué)研究員澤維爾和默罕默德·曼南開展了一項(xiàng)研究和評(píng)估���。這種常用的密碼安全強(qiáng)度指標(biāo)現(xiàn)如今被蘋果�、Dropbox����、Drupal、谷歌����、eBay、微軟�����、PayPal�、Skype、騰訊 QQ�、Twitter、雅虎以及俄羅斯的郵箱服務(wù)商 Yandex Mail 廣泛采用,另外一些專業(yè)的加密服務(wù)商 LastPass�����、1Password 和 KeePass 也在采用這種指標(biāo)�。此外該研究還特意選擇 FedEx 和中國(guó)鐵路客戶服務(wù)中心的網(wǎng)站作多樣性對(duì)比。
澤維爾和默罕默德·曼南從公開的密碼詞典(甚至包括被泄露的真實(shí)密碼)中選取了近 950 萬條密碼���,通過專業(yè)的加密服務(wù)來了解密碼安全強(qiáng)度指標(biāo)的實(shí)際效用���。
互相矛盾的無效密碼鑒定規(guī)則
通常而言,追求密碼長(zhǎng)度的密碼安全強(qiáng)度指標(biāo)����,各種字符集合(包括各種大小寫字母、數(shù)字和符號(hào))當(dāng)中的一些常用單詞(弱密碼)往往就會(huì)被探測(cè)�。然而對(duì)于追求密碼組合的密碼安全強(qiáng)度指標(biāo)則通常會(huì)忽略其他容易被猜中的密碼模式,比如在密碼"Leet" 中�����,用數(shù)字「1」來替代字母"L」�����。
匪夷所思的密碼鑒定結(jié)果
令人困惑的是,幾乎完全相同的密碼竟然會(huì)得出完全不同的結(jié)果��。比如密碼「Paypal01」被 Skype 當(dāng)做弱密碼�����,但是卻被 PayPal 視為強(qiáng)密碼�����。密碼「Password1」被 Dropbox 當(dāng)做極弱密碼��,但是卻被雅虎視為極強(qiáng)密碼����,更令人哭笑不得的是「Password1」竟然從微軟的三款密碼檢測(cè)工具中獲得三項(xiàng)密碼安全程度結(jié)果����,分別是強(qiáng)、弱和中�����。密碼「#football1」被 Dropbox 視為極弱密碼���,卻被 Twitter 視為完美的密碼���。
在某些密碼案列中��,一些十分微小的密碼變化卻帶來完全不同的密碼安全程度的評(píng)價(jià)結(jié)果�。密碼「password$1」被 FedEx 視為弱密碼��,但將密碼略加修改為「Password$1」時(shí)�,F(xiàn)edEx 就將其視為極強(qiáng)密碼。此外��,雅虎將「qwerty」視為弱密碼�,當(dāng)將密碼略加修改為「qwerty1」時(shí),雅虎就將其視為強(qiáng)密碼�。
谷歌也有同樣的情況,密碼「password0」被視為弱密碼���,但將密碼略微修改成「password0+」�,卻被谷歌視為強(qiáng)密碼��。令人匪夷所思的是�,F(xiàn)edEx 竟然將天書般的密碼「+ˆv16#5{]」視為弱密碼,理由是改密碼并未包含大寫字母���,天理何在!
研究人員在調(diào)研報(bào)告中寫道�,「一些密碼安全強(qiáng)度指標(biāo)本身都非常弱且不連貫,比如雅虎和 Yandex��,人們不禁納悶差別如此之大的密碼安全強(qiáng)度指標(biāo)到底能起到什么作用����?��!?/p>
不透明的密碼分析算法
澤維爾和默罕默德·曼南認(rèn)為不透明的密碼檢測(cè)工具會(huì)帶來弊端�,用戶對(duì)于完全不一致的密碼檢測(cè)結(jié)果感到十分困惑
調(diào)研報(bào)告寫道���,「除了 Dropbox 和 KeePass(某種程度上)在密碼實(shí)驗(yàn)中解釋了其內(nèi)在的密碼設(shè)置的要求或者強(qiáng)密碼的設(shè)定規(guī)則邏輯。除了 Dropbox 和 KeePass�����,在密碼實(shí)驗(yàn)中���,我們發(fā)現(xiàn)各網(wǎng)站和密碼工具的密碼安全強(qiáng)度指標(biāo)的設(shè)計(jì)都有著各自特定的方法��,所以才導(dǎo)致將某些弱密碼視為強(qiáng)密碼�����。目前較為簡(jiǎn)單的 Dropbox 密碼檢測(cè)工具有著較高的密碼分析效率�����,可以說是走到了檢測(cè)密碼安全程度的正軌上����。另外 KeePass 也采用了類似的密碼分析算法?�!?/p>
澤維爾和默罕 默德·曼南建議這些網(wǎng)站服務(wù)商應(yīng)在自家的密碼安全強(qiáng)度指標(biāo)中采用通用且公開的密碼分析算法�����,比如 Dropbox 所采用的 zxcvbn 算法或者 KeePass 的開源密碼工具����。
令人困惑的是,幾乎完全相同的密碼竟然會(huì)得出完全不同的結(jié)果��。比如密碼「Paypal01」被 Skype 當(dāng)做弱密碼�,但是卻被 PayPal 視為強(qiáng)密碼。密碼「Password1」被 Dropbox 當(dāng)做極弱密碼���,但是卻被雅虎視為極強(qiáng)密碼���,更令人哭笑不得的是「Password1」竟然從微軟的三款密碼檢測(cè)工具中獲得三項(xiàng)密碼安全程度結(jié)果����,分別是強(qiáng)�、弱和中。密碼「#football1」被 Dropbox 視為極弱密碼�,卻被 Twitter 視為完美的密碼。
免責(zé)聲明:本站所使用的字體和圖片文字等素材部分來源于互聯(lián)網(wǎng)共享平臺(tái)�����。如使用任何字體和圖片文字有冒犯其版權(quán)所有方的��,皆為無意���。如您是字體廠商、圖片文字廠商等版權(quán)方����,且不允許本站使用您的字體和圖片文字等素材,請(qǐng)聯(lián)系我們��,本站核實(shí)后將立即刪除!任何版權(quán)方從未通知聯(lián)系本站管理者停止使用�����,并索要賠償或上訴法院的����,均視為新型網(wǎng)絡(luò)碰瓷及敲詐勒索,將不予任何的法律和經(jīng)濟(jì)賠償�!敬請(qǐng)諒解!
粵公網(wǎng)安備 44030402000264號(hào)