你的密码足够安全吗?

2015-04-10 19:07:12来源: 创见
    近期一项来自加拿大康考迪亚大学的调研显示,我们日常使用的很多知名网站的密码安全强度指标可能会令用户误入歧途。

  如果你现在还在通过密码安全强度指标来判断自己的密码安全强度,兴许这并非什么好事。加拿大魁北克省的康考迪亚大学最近一项研究结果显示,目前密码安全强度测定方式高度不一致或许会让用户误入歧途。

  大量实证分析结果表示,目前常用的密码安全强度指标高度不一致,无法提供连贯的反馈,有的时候甚至会显而易见地令用户误入歧途。

  就全球访问量超高的网站以及知名的密码管理工具所采用的密码安全强度指标,康考迪亚大学研究员泽维尔和**·曼南开展了一项研究和评估。这种常用的密码安全强度指标现如今被苹果、Dropbox、Drupal、谷歌、eBay、微软、PayPal、Skype、腾讯 QQ、Twitter、雅虎以及俄罗斯的邮箱服务商 Yandex Mail 广泛采用,另外一些专业的加密服务商 LastPass、1Password 和 KeePass 也在采用这种指标。此外该研究还特意选择 FedEx 和中国铁路客户服务中心的网站作多样性对比。

  泽维尔和**·曼南从公开的密码词典(甚至包括被泄露的真实密码)中选取了近 950 万条密码,通过专业的加密服务来了解密码安全强度指标的实际效用。

  互相矛盾的无效密码鉴定规则

  通常而言,追求密码长度的密码安全强度指标,各种字符集合(包括各种大小写字母、数字和符号)当中的一些常用单词(弱密码)往往就会被探测。然而对于追求密码组合的密码安全强度指标则通常会忽略其他容易被猜中的密码模式,比如在密码"Leet" 中,用数字「1」来替代字母"L」。

  匪夷所思的密码鉴定结果

  令人困惑的是,几乎完全相同的密码竟然会得出完全不同的结果。比如密码「Paypal01」被 Skype 当做弱密码,但是却被 PayPal 视为强密码。密码「Password1」被 Dropbox 当做极弱密码,但是却被雅虎视为极强密码,更令人哭笑不得的是「Password1」竟然从微软的三款密码检测工具中获得三项密码安全程度结果,分别是强、弱和中。密码「#football1」被 Dropbox 视为极弱密码,却被 Twitter 视为完美的密码。

  在某些密码案列中,一些十分微小的密码变化却带来完全不同的密码安全程度的评价结果。密码「password$1」被 FedEx 视为弱密码,但将密码略加修改为「Password$1」时,FedEx 就将其视为极强密码。此外,雅虎将「qwerty」视为弱密码,当将密码略加修改为「qwerty1」时,雅虎就将其视为强密码。

  谷歌也有同样的情况,密码「password0」被视为弱密码,但将密码略微修改成「password0+」,却被谷歌视为强密码。令人匪夷所思的是,FedEx 竟然将天书般的密码「+ˆv16#5{]」视为弱密码,理由是改密码并未包含大写字母,天理何在!

  研究人员在调研报告中写道,「一些密码安全强度指标本身都非常弱且不连贯,比如雅虎和 Yandex,人们不禁纳闷差别如此之大的密码安全强度指标到底能起到什么作用。」

  不透明的密码分析算法

  泽维尔和**·曼南认为不透明的密码检测工具会带来弊端,用户对于完全不一致的密码检测结果感到十分困惑

  调研报告写道,「除了 Dropbox 和 KeePass(某种程度上)在密码实验中解释了其内在的密码设置的要求或者强密码的设定规则逻辑。除了 Dropbox 和 KeePass,在密码实验中,我们发现各网站和密码工具的密码安全强度指标的设计都有着各自特定的方法,所以才导致将某些弱密码视为强密码。目前较为简单的 Dropbox 密码检测工具有着较高的密码分析效率,可以说是走到了检测密码安全程度的正轨上。另外 KeePass 也采用了类似的密码分析算法。」

  泽维尔和默罕 默德·曼南建议这些网站服务商应在自家的密码安全强度指标中采用通用且公开的密码分析算法,比如 Dropbox 所采用的 zxcvbn 算法或者 KeePass 的开源密码工具。

  令人困惑的是,几乎完全相同的密码竟然会得出完全不同的结果。比如密码「Paypal01」被 Skype 当做弱密码,但是却被 PayPal 视为强密码。密码「Password1」被 Dropbox 当做极弱密码,但是却被雅虎视为极强密码,更令人哭笑不得的是「Password1」竟然从微软的三款密码检测工具中获得三项密码安全程度结果,分别是强、弱和中。密码「#football1」被 Dropbox 视为极弱密码,却被 Twitter 视为完美的密码。

关键字:密码  足够  安全

编辑:鲁迪 引用地址:http://www.eeworld.com.cn/afdz/2015/0410/article_8311.html
本网站转载的所有的文章、图片、音频视频文件等资料的版权归版权所有人所有,本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如果本网所选内容的文章作者及编辑认为其作品不宜公开自由传播,或不应无偿使用,请及时通过电子邮件或电话通知我们,以迅速采取适当措施,避免给双方造成不必要的经济损失。
论坛活动 E手掌握
微信扫一扫加关注
论坛活动 E手掌握
芯片资讯 锐利解读
微信扫一扫加关注
芯片资讯 锐利解读
推荐阅读
全部
密码
足够
安全

小广播

独家专题更多

富士通铁电随机存储器FRAM主题展馆
富士通铁电随机存储器FRAM主题展馆
馆内包含了 纵览FRAM、独立FRAM存储器专区、FRAM内置LSI专区三大部分内容。 
走,跟Molex一起去看《中国电子消费品趋势》!
走,跟Molex一起去看《中国电子消费品趋势》!
 
带你走进LED王国——Microchip LED应用专题
带你走进LED王国——Microchip LED应用专题
 

About Us 关于我们 客户服务 联系方式 器件索引 网站地图 最新更新 手机版

站点相关: 视频监控 智能卡 防盗报警 智能管理 处理器 传感器 其他技术 综合资讯 安防论坛

北京市海淀区知春路23号集成电路设计园量子银座1305 电话:(010)82350740 邮编:100191

电子工程世界版权所有 京ICP证060456号 京ICP备10001474号 电信业务审批[2006]字第258号函 京公海网安备110108001534 Copyright © 2005-2016 EEWORLD.com.cn, Inc. All rights reserved