你的密碼足夠安全嗎?
創見乾貨:近期一項來自加拿大康考迪亞大學的調研顯示,我們日常使用的很多知名網站的密碼安全強度指標可能會令用户誤入歧途。
近期一項來自加拿大康考迪亞大學的調研顯示,我們日常使用的很多知名網站的密碼安全強度指標可能會令用户誤入歧途。
如果你現在還在通過密碼安全強度指標來判斷自己的密碼安全強度,興許這並非什麼好事。加拿大魁北克省的康考迪亞大學最近一項研究結果顯示,目前密碼安全強度測定方式高度不一致或許會讓用户誤入歧途。
大量實證分析結果表示,目前常用的密碼安全強度指標高度不一致,無法提供連貫的反饋,有的時候甚至會顯而易見地令用户誤入歧途。
就全球訪問量超高的網站以及知名的密碼管理工具所採用的密碼安全強度指標,康考迪亞大學研究員澤維爾和默罕默德·曼南開展了一項研究和評估。這種常用的密碼安全強度指標現如今被蘋果、Dropbox、Drupal、Google、eBay、微軟、PayPal、Skype、騰訊 QQ、Twitter、雅虎以及俄羅斯的郵箱服務商 Yandex Mail 廣泛採用,另外一些專業的加密服務商 LastPass、1Password 和 KeePass 也在採用這種指標。此外該研究還特意選擇 FedEx 和中國鐵路客户服務中心的網站作多樣性對比。
澤維爾和默罕默德·曼南從公開的密碼詞典(甚至包括被泄露的真實密碼)中選取了近 950 萬條密碼,通過專業的加密服務來了解密碼安全強度指標的實際效用。
互相矛盾的無效密碼鑑定規則
通常而言,追求密碼長度的密碼安全強度指標,各種字符集合(包括各種大小寫字母、數字和符號)當中的一些常用單詞(弱密碼)往往就會被探測。然而對於追求密碼組合的密碼安全強度指標則通常會忽略其他容易被猜中的密碼模式,比如在密碼"Leet" 中,用數字「1」來替代字母"L」。
匪夷所思的密碼鑑定結果
令人困惑的是,幾乎完全相同的密碼竟然會得出完全不同的結果。比如密碼「Paypal01」被 Skype 當做弱密碼,但是卻被 PayPal 視為強密碼。密碼「Password1」被 Dropbox 當做極弱密碼,但是卻被雅虎視為極強密碼,更令人哭笑不得的是「Password1」竟然從微軟的三款密碼檢測工具中獲得三項密碼安全程度結果,分別是強、弱和中。密碼「#football1」被 Dropbox 視為極弱密碼,卻被 Twitter 視為完美的密碼。
在某些密碼案列中,一些十分微小的密碼變化卻帶來完全不同的密碼安全程度的評價結果。密碼「password$1」被 FedEx 視為弱密碼,但將密碼略加修改為「Password$1」時,FedEx 就將其視為極強密碼。此外,雅虎將「qwerty」視為弱密碼,當將密碼略加修改為「qwerty1」時,雅虎就將其視為強密碼。
Google也有同樣的情況,密碼「password0」被視為弱密碼,但將密碼略微修改成「password0+」,卻被Google視為強密碼。令人匪夷所思的是,FedEx 竟然將天書般的密碼「+ˆv16#5{]」視為弱密碼,理由是改密碼並未包含大寫字母,天理何在!
研究人員在調研報告中寫道,「一些密碼安全強度指標本身都非常弱且不連貫,比如雅虎和 Yandex,人們不禁納悶差別如此之大的密碼安全強度指標到底能起到什麼作用。」
不透明的密碼分析算法
澤維爾和默罕默德·曼南認為不透明的密碼檢測工具會帶來弊端,用户對於完全不一致的密碼檢測結果感到十分困惑
調研報告寫道,「除了 Dropbox 和 KeePass(某種程度上)在密碼實驗中解釋了其內在的密碼設置的要求或者強密碼的設定規則邏輯。除了 Dropbox 和 KeePass,在密碼實驗中,我們發現各網站和密碼工具的密碼安全強度指標的設計都有着各自特定的方法,所以才導致將某些弱密碼視為強密碼。目前較為簡單的 Dropbox 密碼檢測工具有着較高的密碼分析效率,可以説是走到了檢測密碼安全程度的正軌上。另外 KeePass 也採用了類似的密碼分析算法。」
澤維爾和默罕默德·曼南建議這些網站服務商應在自家的密碼安全強度指標中採用通用且公開的密碼分析算法,比如 Dropbox 所採用的 zxcvbn 算法或者 KeePass 的開源密碼工具。
令人困惑的是,幾乎完全相同的密碼竟然會得出完全不同的結果。比如密碼「Paypal01」被 Skype 當做弱密碼,但是卻被 PayPal 視為強密碼。密碼「Password1」被 Dropbox 當做極弱密碼,但是卻被雅虎視為極強密碼,更令人哭笑不得的是「Password1」竟然從微軟的三款密碼檢測工具中獲得三項密碼安全程度結果,分別是強、弱和中。密碼「#football1」被 Dropbox 視為極弱密碼,卻被 Twitter 視為完美的密碼。
文章來源 Your "Strong" Password May Be Weaker Than You Think,本文由 TECH2IPO /創見 樑超編譯
資料來源:TECH2IPO
近期一項來自加拿大康考迪亞大學的調研顯示,我們日常使用的很多知名網站的密碼安全強度指標可能會令用户誤入歧途。
如果你現在還在通過密碼安全強度指標來判斷自己的密碼安全強度,興許這並非什麼好事。加拿大魁北克省的康考迪亞大學最近一項研究結果顯示,目前密碼安全強度測定方式高度不一致或許會讓用户誤入歧途。
大量實證分析結果表示,目前常用的密碼安全強度指標高度不一致,無法提供連貫的反饋,有的時候甚至會顯而易見地令用户誤入歧途。
就全球訪問量超高的網站以及知名的密碼管理工具所採用的密碼安全強度指標,康考迪亞大學研究員澤維爾和默罕默德·曼南開展了一項研究和評估。這種常用的密碼安全強度指標現如今被蘋果、Dropbox、Drupal、Google、eBay、微軟、PayPal、Skype、騰訊 QQ、Twitter、雅虎以及俄羅斯的郵箱服務商 Yandex Mail 廣泛採用,另外一些專業的加密服務商 LastPass、1Password 和 KeePass 也在採用這種指標。此外該研究還特意選擇 FedEx 和中國鐵路客户服務中心的網站作多樣性對比。
澤維爾和默罕默德·曼南從公開的密碼詞典(甚至包括被泄露的真實密碼)中選取了近 950 萬條密碼,通過專業的加密服務來了解密碼安全強度指標的實際效用。
互相矛盾的無效密碼鑑定規則
通常而言,追求密碼長度的密碼安全強度指標,各種字符集合(包括各種大小寫字母、數字和符號)當中的一些常用單詞(弱密碼)往往就會被探測。然而對於追求密碼組合的密碼安全強度指標則通常會忽略其他容易被猜中的密碼模式,比如在密碼"Leet" 中,用數字「1」來替代字母"L」。
匪夷所思的密碼鑑定結果
令人困惑的是,幾乎完全相同的密碼竟然會得出完全不同的結果。比如密碼「Paypal01」被 Skype 當做弱密碼,但是卻被 PayPal 視為強密碼。密碼「Password1」被 Dropbox 當做極弱密碼,但是卻被雅虎視為極強密碼,更令人哭笑不得的是「Password1」竟然從微軟的三款密碼檢測工具中獲得三項密碼安全程度結果,分別是強、弱和中。密碼「#football1」被 Dropbox 視為極弱密碼,卻被 Twitter 視為完美的密碼。
在某些密碼案列中,一些十分微小的密碼變化卻帶來完全不同的密碼安全程度的評價結果。密碼「password$1」被 FedEx 視為弱密碼,但將密碼略加修改為「Password$1」時,FedEx 就將其視為極強密碼。此外,雅虎將「qwerty」視為弱密碼,當將密碼略加修改為「qwerty1」時,雅虎就將其視為強密碼。
Google也有同樣的情況,密碼「password0」被視為弱密碼,但將密碼略微修改成「password0+」,卻被Google視為強密碼。令人匪夷所思的是,FedEx 竟然將天書般的密碼「+ˆv16#5{]」視為弱密碼,理由是改密碼並未包含大寫字母,天理何在!
研究人員在調研報告中寫道,「一些密碼安全強度指標本身都非常弱且不連貫,比如雅虎和 Yandex,人們不禁納悶差別如此之大的密碼安全強度指標到底能起到什麼作用。」
不透明的密碼分析算法
澤維爾和默罕默德·曼南認為不透明的密碼檢測工具會帶來弊端,用户對於完全不一致的密碼檢測結果感到十分困惑
調研報告寫道,「除了 Dropbox 和 KeePass(某種程度上)在密碼實驗中解釋了其內在的密碼設置的要求或者強密碼的設定規則邏輯。除了 Dropbox 和 KeePass,在密碼實驗中,我們發現各網站和密碼工具的密碼安全強度指標的設計都有着各自特定的方法,所以才導致將某些弱密碼視為強密碼。目前較為簡單的 Dropbox 密碼檢測工具有着較高的密碼分析效率,可以説是走到了檢測密碼安全程度的正軌上。另外 KeePass 也採用了類似的密碼分析算法。」
澤維爾和默罕默德·曼南建議這些網站服務商應在自家的密碼安全強度指標中採用通用且公開的密碼分析算法,比如 Dropbox 所採用的 zxcvbn 算法或者 KeePass 的開源密碼工具。
令人困惑的是,幾乎完全相同的密碼竟然會得出完全不同的結果。比如密碼「Paypal01」被 Skype 當做弱密碼,但是卻被 PayPal 視為強密碼。密碼「Password1」被 Dropbox 當做極弱密碼,但是卻被雅虎視為極強密碼,更令人哭笑不得的是「Password1」竟然從微軟的三款密碼檢測工具中獲得三項密碼安全程度結果,分別是強、弱和中。密碼「#football1」被 Dropbox 視為極弱密碼,卻被 Twitter 視為完美的密碼。
文章來源 Your "Strong" Password May Be Weaker Than You Think,本文由 TECH2IPO /創見 樑超編譯
資料來源:TECH2IPO