dadiwuchen 2012-6-3 11:39
老生常谈的密码安全[1P]
[align=center][img]http://pic004.cnblogs.com/news/201206/20120603_091117_1.jpg?9f13f7[/img][/align]
[align=left] 密码设置过弱是个老生常谈的话题。2006 年一项针对 3.4 万个 MySpace 用户账号密码进行的调查显示,最常见的四个密码分别是 “password1″、”abc123″、”myspace1″、”password”。
2011 年夏天,iOS 应用开发者 Daniel Amitay 为研究用户行为在自己的应用里做了个逼真的伪解锁界面,成功收集超过 20 万用户解锁码。其中出现次数最多的前十个组合是:1234, 0000, 2580(键盘中间四个数字), 1111, 5555, 5683(数字键的 LOVE), 0852(2580 反过来), 2222, 1212, 1998。
最近剑桥大学的计算机研究人员 Joseph Bonneau 对 7000 万雅虎用户的账号进行分析后发现问题依旧——账号信息经过加密,他无法访问单用户信息。Bonneau 介绍说密码强度以 bits 衡量,一个由数字、大写字母以及小写字母构成的 6 位数密码强度为 32 bits。但雅虎用户自己设定的密码平均强度低于 10 bits,很容易被攻破。
此外平均来看,为账号绑定信用卡的用户在设置密码时并不比未绑定信用卡的用户高。反倒是 55 岁以上用户明显更听从安全建议,设置的密码安全系数较高。
有人会觉得网站明码保存密码和另辟蹊径的社会学攻击让完全保密成为空谈,但更复杂的密码还是有意义的,不能因为做不到 100% 安全就用 qwertyui 作为付款密码。这也是为什么 Google 推荐以复杂的两步验证机制保护 Gmail 账号、苹果 ID 强制包括不同字符、微软也在 Windows 8 里一改以往策略,默认启用密码。
不过如果一件事被强调了几十年还不见好,责任肯定不在用户。记忆同时包含无意义数字和大小写字母的密码组合本身就是强人所难。何况现在泄密事件时有发生,用户得记一堆密码才能真正改善安全性。
这件事让我想到一个不太靠谱的传闻。关注 Insideris.com 前两周发布一条没来源的消息说微软计划在 IE 11 中引入全新安全机制,浏览器将生成长串复杂的无意义号码用于网站登录。用户通过指纹扫描或者对着 Kinect 作出特定动作(例如微笑)方能解锁——比面部解锁好的一点是 Kinect 的双摄像头不容易被照片骗过。
说这不太靠谱是因为硬件要求太多,而且 Kinect 精度还不够高,尚且没法识别手语,更别提微笑。指纹扫描更不靠谱,计算机附带的那些可以用贴纸轻松骗过。
不过抛开硬件限制,这样的思路本身挺合理。跨平台应用 1Password 就采用类似逻辑,鼓励用户为不同网站设置不同的复杂密码。1Password 自带浏览器插件,理论上用户只需要记得 1Password 的密码就能自动登陆所有网站。但 1Password 毕竟只是一个第三方应用,而且价格不菲,Mac+Windows 就要 70 美元,注定只是小众产品。若 Google、微软、苹果这样的平台拥有者能够推动,前景会很不一样吧。
[/align]
stevenjzd 2012-6-3 13:39
利用编码学自己编译一个复杂的,类似于像函数映射一样的做法去,生成一个密码然后记忆就能搞定。
然后在生成的密码之上,在加上一个简单的区分,就完成了从非重要的加密到重要的加密的所有步骤。
不明白为何一直密码是个问题。。。
moimoy 2012-6-3 13:40
密码安全,用多长的密码才安全呢?都长的密码都不安全!
difen23 2012-6-3 14:44
密码还是自己选择几个有意义的数字,然后通过调换顺序来排列比较好
summerauto 2012-6-3 23:41
其实最主要是输入密码的方式,只有拍别人看到密码,再长也没有用的
elminsiter 2012-6-4 10:33
这NIMA明显是基于西方人的习惯的报告,对咱们东方人借鉴意义不大——除非你想去黑西方人的账号。
对中国人而言,密码中加入中文无疑相当不错,至少能杜绝相当部分的西方式攻击。
不重要的账号,随便吧。
不太重要的账号,稍微长点。或者隔三差五换下密码,顶多设置下密码登陆问题之类的就没什么了。
重要的,比如银行卡,用手机绑定或者U盾什么的就能解决。
此外,重要隐私内容不要存储在能够联网的设备中,移动硬盘什么的又不贵,放移动硬盘里就行。需要的时候断网使用就行。
这样保证没问题。
当然,你非要将自己的隐私啥的与信得过的人分享......我只能说,网络上是没有秘密可言的。
在线客服(1)