便于记忆与安全,网络密码如何兼顾?

然而,今年5月将会在电气和电子工程师学会(IEEE)所主办的安全会议上发布的一篇论文可能能为众人阐明这个问题。来自英国剑桥大学的约瑟夫·博诺(Joseph Bonneau)获得了迄今为止最大的密码样本,他与大型互联网公司雅虎合作获得了7000万个样本,虽然数据都是匿名的,但是它能够提供有关其所有者最实用的统计数据。

美国佐治亚理工研究所高级研究科学家理查德·博伊德说:“如果只使用8个字符,这些字符又仅限于字母,那么密码在几分钟内就能被破解。我认为,只要能记住,密码应尽量长些,但至少要有10到12个字符。”

此外还有一种叫做密码短语的密码设置方式,它采用多个单词组合而不是单个单词来作为密码。这意味着黑客需要猜出更多的字母,因此密码的安全性也更高。当然,这仅限于那些不出现于常用短语字典里的词语,然而实际上人们设置密码时使用的往往都是常用词语。

美国卡内基-梅隆大学计算机科学学院就如何创建新密码提出以下建议:选择的密码不要基于个人数据,如你的姓名、用户名或人们通过互联网搜索等方式很容易就能发现的有关你的其他信息;选择的密码也不能是一个聪明人可能会放入密码“字典”中的单词(英语或其他语种单词)、专名和电视节目名称等。

一个解决方案是将密码和密码短语结合起来,形成一种所谓的助记符密码。这是一种看似混乱的字符串,但记起来却并不困难。例如,可以使用单词的首字母,变换大小写,或者使用一些替代符号(比如用“8”代替“B”)。比如说“itaMc0Ttit8”代表的意思就是“is thus a mnemonic contraction of the text in these brackets”这句话。但即便是助记符密码,也并非无懈可击。在2006年发表的一项研究表明,利用包含歌词、电影名等类似词语的字典可以解开4%的助记符密码样本。

黑客通常使用两种不同的方法来进行非授权访问。一种方法是用一部包含姓名、日期和其他常用安全短语的“字典”与密码匹配。例如,如果你的密码是你的宠物的名字,那么这种方法就能轻而易举地破解密码。

一个明显的应对办法就是限制猜测次数,就像取款机一样,当达到规定猜测次数时用户将被禁止访问。然而除了那些像谷歌、微软这样的大型网站会采取类似的措施,其他许多网站都没有这么做。在2010年,博诺和他的同事检测了150个大网站,结果发现其中126个网站都没有限制猜测次数。有的网站之所以采用如此松懈的管理是因为他们所要保护的资料并没有特别的价值。此外还有一种原因是,很多网站在初始阶段出现了资金短缺的状况,而实施额外的密码安全措施将占用宝贵的编程时间,他们开始就舍不得付出,之后就更懒得改变了。

为了创建能抵御黑客和恶意软件的强密码,专家建议使用至少12个字符,这些字符可从键盘上的所有数字、字母和符号中任意选取。

图右的人输入的密码是4个单词,意思是移液管、水槽、渡渡鸟和屠杀。

美媒称,“心脏出血”优信彩票购彩大厅,漏洞是一个巨大的互联网安全漏洞,可能已对包括雅虎、Flickr和Tumblr等著名网站在内的数以百万计的网站造成危害,致使用户密码和其他个人信息暴露无遗。美国趣味科学网站4月10日报道称,由于“心脏出血”漏洞把目标对准网络和电子邮件服务器,普通互联网用户应对这一问题的办法并不多。但专家敦促人们修改账户和在线服务密码,以提高密码的安全度。

在2009年10月至2012年2月期间,网络零售商亚马逊的密码短语系统便允许用户使用密码短语口令。博诺和他的同事对其进行了分析,他们发现尽管密码短语的确会比一般密码来的安全,但是结果并非完全达到了预期的效果。一个四到五个随机选择的词语必然十分安全,但是随机选择的词语并不易于记忆,这对黑客而言是一个福音。博诺收集了互联网上的一大堆如电影名、体育短语和俚语等信息,之后建立了一个包含20656个词的字典,而这个字典就能解锁亚马逊数据库中1.13%的账户。

黑客使用的另一种方法被称为暴力破解法。黑客尝试每一个可能的字母数字组合,直至找到那个正确组合为止。据安全专家介绍,尽管使用这种方法很费时,但由于计算机运算速度加快,破解的速度已大幅提高。

在计算机安全中,密码可谓是无处不在。但是它们时常难以达到应有的效果。一个好的密码应该既便于记忆又很难被猜出,在实际中人们往往忘记了后者。有的人甚至采用了极端的简易密码——只使用一个字母作为密码。根据黑客从一个称为RockYou的网站窃取的3200万密码资料来看,该网站1.1%的用户,也就是约36.5万人,都使用了“123456”或“12345”作为密码。

本文由优信彩票购彩大厅发布于互联网资讯,转载请注明出处:便于记忆与安全,网络密码如何兼顾?

您可能还会对下面的文章感兴趣: