一项研究表明,1%的密码可以在4次之内猜中。
怎么可能?简单!尝试四个最常见密码。passWord,123456,12345678,和qwerty,这就打开了1%的大门。
好吧,你是那99%的人之一,但你还要考虑到而今黑客软件的速度。John the Ripper是一款免费的黑客软件,每秒钟能测试数百万密码。还有一款商业软件本来是用在刑侦领域里(在查封的电脑中寻找儿童色情或者恐怖分子的信息),号称每秒能测试28亿密码。
一开始,破解软件会运行一套穷举式的、时常更新的流行密码表,然后再是整个字典,包括所有的常见人名,昵称和宠物名。而今我们这些用户,在反复羞辱和威胁之下,大多学会了往我们的密码里加数字、标点和奇怪的大小写,这叫“重整”(mangling)。理论上,这能让密码变得难猜许多——实际上,效果远没有那么好。几乎所有人的思维都会遵循那些早已被踏平的熟门熟路。如果网站要求你的密码里必须有数字,那passWord变成passWord1或者passWord123的频率会让你吃惊的。而要求你必须大小写同时出现的密码就会产生PassWord或PaSsWord。必须有特殊符号的结果则是passWord!和p@ssWord。你以为$pider_Man1这种密码真的有看起来那么安全?每个人都觉得自己很机智,最后都机智到一块去了。
而且我们还有理由担心,因为网站强制采取重整,会逼迫用户去使用那些简单好记的密码作为重整的“底子”——因为重整本身很难记。它带来的安全感是虚假的。 RockYou事件 之所以我们对这些愚蠢密码有所了解,很大程度上来自于2009年12月4日的RockYou.com安全漏洞事件,他们是一个Facebook游戏发行商。一位黑客公布了这个网站32603388位用户的账号名和明文密码。此前和此后都有很多安全漏洞,但是这一起事件的超大规模使得它成为密码研究的关键数据组——无论是对好人还是对坏人而言。 “123456”和“passWord”是非常受欢迎的密码。
在RockYou.com里最受欢迎的密码是“123456”,使用者人数高达290731人。不同年龄段和性别的人爱用的密码有很多差异,对于30岁以下的男性,许多受欢迎的密码来自性和秽语: pussy,fuck,fucking,696969,asshole,fucker,horny,hooters,bigdick,tits,boobs等词汇位居前列。年纪大的人(不分男女)更倾向于使用昔日流行文化里的老梗。“Epsilon793”本来不是一个很糟的密码——假如它不是《星际迷航:下一代》里Picard舰长的密码的话。七位数字“8675309”常见到不可思议的程度,因为它是当年一首流行歌曲里面的电话号码。
只有记不住的才是安全的? 密码安全领域的每一项新方案最后不可避免都要招致冷眼旁观的专家的评论——在他们看来,任何常见的密码管理行为都是没用的。许多专家奉行“写下来”的原则,“很简单,足以抵御住字典式攻击的长密码已经长到人们记不住的程度了,如果人们选取一个又长又复杂、完全记不住的密码然后写在纸上,那才算安全。”这是咨询家布鲁斯•歇奈尔(Bruce SchneIEr)在2005年写下的,在数字时代这简直是上古先知了。“我们都很擅长保管小纸片,我建议人们把密码写在纸上,然后把那张纸和其他有价值的纸放在一起——钱包里。”
即便可以将密码记在纸上,但敲出一个长而难记的密码也是烦人的事。移动设备的虚拟键盘?祝你好运。专家建议和现实场景的鸿沟在我爸的方法上体现得再明显不过——他把密码写在即时贴上,再把即时贴贴在电脑旁。密码并不复杂,只是一个两字短语,没有数字或者奇怪的标点符号。现实中的人不光会选择不安全的密码,他们连这样的密码都不大记得住。
而在网上漫游中,许多用户像蜗牛一样留下一串又一串都差不多的密码轨迹。他们会给每个网站都使用一样的密码,风险?见鬼去吧。有些网站会手把手地带用户,强迫他们遵循一些无厘头的密码规则,用户不得不修改自己的常用密码——然后他们下次登录的时候又不记得是怎么修改的了。
那怎样的密码才算安全? 创造一个安全密码简直是世界上最简单的事情:一串完全随机的字符就是了。靠自己的脑子是无法达成完美随机的,但你也不需要这样苛求自己:许多网站和应用可以拿环境噪声的数据给你提供完全随机的密码。这里是我在random.org上获得的一些密码例子: |