尽管多年以来总有人建议我们加强密码强度,但似乎没有很多人真正听取了建议。虚拟主机公司WP Engine出手研究了由安全顾问马克·伯内特搜集的包含1000万个被泄露密码的数据库。他们的研究发现,只有0.6%的密码是简单的“123456”……
最常见的密码包含数字和字母,而且10个最常用的数字和字母独占了1.6%;8.4%的密码以一个0到99之间的数字结尾,而且其中20%都是数字“1”。
8.4%的密码以一个0到99之间的数字结尾
WP Engine也发现人们对图形很着迷。虽然“1qaz2wsx”可能看上去是一个非常谨慎的密码,但当你发现它是由相邻的键盘按键组成时可能就不这么认为了。用这种方式组成密码被称为“遛键盘”,黑客们可以很轻松地破解它。“Adgjmptw”名列最顶级的20个遛键盘密码之一,但它是唯一一个不遛QWERTY电脑标准键盘的一个。你能确定它遛的哪个键盘吗?(答案在最后)
然而,这些都是差劲密码的例子,那么什么样的密码才好呢?尤其是你需要一个能记住的密码。在2011年的一项研究中,来自卡内基梅隆大学的解析分析软件工程技术领队萨兰格·科曼迪瑞和同事们找到了答案。参与者们根据一系列包含“复杂8位”等不同的设置规则生成了12000个密码,密码长度至少有8位,包含大小写字母、一个数字、一个符号并且不包括单词。例如“Tgfq1&Ha”。
如果你认为这些规则很复杂,那么你是对的。研究者们发现,只有18%的参与者第一次就生成了一个合适的复杂八位密码。实际上,25%的人在成功设置密码之前就放弃了。当然,如果他们努力设置的密码安全性高,他们就能获得奖励。所以,科曼迪瑞将复杂8位与其他包括基本8位和基本16位——密码长度最短8位和16位——而没有其他要求的密码规则相比较。研究者们随后将这些密码交给两种不同类型的黑客来破解。
密码生成策略。猜测结果
最难破解的是哪个?基本16位。即使再经过100亿次猜测之后,这些密码也只有12%被破解。相比之下,复杂8位被破解了22%,基本8位被破解了60%。所以不仅仅是大/小写字母、数字和符号让用户感到更沮丧,它们所提供的保护似乎也不如一串16位的小写字母。所以Tgfq1&Ha不如随机的4个单词串联在一起形成的16位字母,例如redpiggolfcheese。围绕这些单词编造一段故事能帮助你记住它——一头红色的猪用高尔夫球打一块奶酪就是一个令人非常难忘的画面。
用基本16位原则创建的密码最难被破解
答案:Adgjmptw是遛了手机的9键按键,按2—9的顺序按键产生的。
密码正在走向死亡
我们的建议都很好,但恐怕密码即将迎来它们的终结之日了。我们的孩子和孩子的孩子可能会一直嘲笑我们,因为我们需要输入一串任意的字母和数字来获取我们最宝贵的信息。
我们已经见证了这一进化的开端。2016年,脸书在一个工业发布会上宣布了他们账户工具的诞生。不用输入密码登录而是输入你的电话号码,随后系统会发送一个确认代码到你的手机上让你用于登录。
手机银行软件现在开始通过你手机上的触摸板识别你的指纹来让你登录账户。大银行也忙于开发更进一步的技术,通过手拿和使用手机的方式来鉴别你的身份。脸部和虹膜识别技术也不再遥远。
以上这些并不令人吃惊,因为人们痛恨密码。调查显示,70%的人在一个月内需要点击两次“我忘记了密码”这个按钮。假如我们的技术不再需要我们提供详细的不方便凭据就能自证身份,那么可能某一天我们会像在这里怀念8字节字母一样对密码充满怀旧之情吧。
485000个密码的长度分布
