口令问题多多,但却是工作和生活中用于身份验证的主要方式。最近,Salted Hash 审查了2016网络钓鱼攻击中被侵入账户所用的126357个口令,结果令人伤心失望。
这样的口令研究,源于一家厂商不久前发布在网上的“最糟口令”列表,此表看起来与去年发布的相差无几。
看到这样的列表流传,同样的问题便不断浮现在脑海:这些口令是不是从用户不在意账户安全的地方收集来的?人们真的选择了这些可怕的口令?我们不愿意假设了这些问题的答案是毫不迟疑的“是”,于是对一些被盗记录做了深入调查。
Salted Hash 收集了暗网上流传的网络钓鱼日志。将原始数据用罗宾·伍德写的Pipal和亚历桑德拉·利斯塔德写的Passpal进行了排序和编译。
样本网络钓鱼行动针对微软、苹果、谷歌、Spotify和PayPal账户,以及银行和社交媒体登录凭证。一些钓鱼行动随时间流逝收割了成百上千的受害者,另一些则少得多,但本研究所用基本口令集来自于4个月收集过程。
预期结果是产生一个更强的口令选择集,与“最糟口令”列表中流转的那些毫不相同。毕竟,这些是很有价值的账户。但是,结果令人震惊,几乎可以让安全经理痛哭流涕。
史蒂夫·特雷诺,CSO Online 艺术总监,从 Salted Hash 收集的原始数据产生了本文所含的那张图。他还加进了领英、推特、VK.com和Badoo.com数据泄露事件中整理出来的10大悲剧口令。
杰西·埃尔文,安全研究员兼口令倡导者,对研究结果进行了分析,并提出了自己的意见。
数字口令第一时间就进入了她的视线。这似乎昭示着人们觉得PIN码风格的口令更有用;尽管重复使用简单的PIN码或现成的键盘数字模式跟使用常见的不安全的口令一样风险很大。
“然而,大多数时候,人们仅仅选择简单的口令和数字组合以节省时间,或防止忘记口令而导致不能登录账号或丢失数据。这种想法在普通用户中流传甚广,且十分危险。
这是不是一个安全行业逐渐形成的问题呢?是安全界驱使用户采用糟糕口令的吗?2010年创立了PasswordsCon的安全专家佩·索谢姆觉得,答案恐怕是“是”。
“口令常识通常建立在老旧设想、习俗和传说基础上。”他说。人们用以创建口令的大多数建议都是过时的,或者无关紧要的,而且从技术上或逻辑上就是错误的。
与口令创建相关的逻辑和技术问题大多源于人类自身的限制。
在 Salted Hash 收集的原始数据中,基础词汇,或者说用以创建特定口令的词语,昭示了另一个问题。其中很多都代表了姓名和地点,以及其他一些个人元素。
关于口令,能让人类觉得可用的,和能保证系统安全的,是两种完全不同的东西。身份验证两大元素中“你知道的”部分,往往就是其中最弱的那个因素,因为限于人类记忆力和人脑运作的方式。
人们更容易使用对自己很重要的人的名字、喜欢的球队、钟爱的电影等来构成自己的口令,根本没想过数据库中是否会有其他的口令跟自己的一模一样。而对计算机来讲安全有效的口令——强口令、长口令、随机口令、独特口令,则与人类记忆思维习惯背道而驰。如果将计算机的需求强加给人类,最终也不过就是收获一堆非常非常非常弱的口令而已。
特殊字符也是问题的一环,因为可供选择的集合太小了,更何况很多人还不乐意用呢。下列字符是样本口令中最常用到的符号,从左到右使用频率递减:
! * ? $ # / & ” + % ) ( [ = , ] ^ ; { > ‘ } é \ ` ~ | < : è .
注意:’]’和’^’之间有一个空格符。
样本数据集中一个突出的问题是,数据泄露事件暴露出来的最糟口令中没有任何一个包含有这些特殊字符。
尽管这看起来可能会归因于用户的懒惰,但所有这些口令在移动设备上输入都是十分容易的,而且也不需要切换键盘或要拼手速。移动口令需求跟桌面口令需求是不一样的,现在全球都是首选通过移动设备来加入科技时代。这没理由不对口令强度和安全产生影响。
样本集中的大多数口令都只有8个字符长度,这大概是因为大多数口令策略都将8个字符设置为最低长度要求吧。但排第二的口令长度就是6个字符。
口令复杂度指南只有在用户每个App使用不同口令的情况下才有意义。
期待用户会费事儿为每个网站使用不同的复杂密码是很不负责任的。这也是为什么其他方法,比如双因子身份验证,应该被实现的原因。
基于 Salted Hash 收集的数据,口令越长,其独特性越强。但也并不意味着越长的口令就越好。
样本中只有3%的口令有12个字符,但却是由极容易被猜解的词或短语组成的。比如:’jamesbond007′ 或 ‘123qweasdzxc’。
讽刺的是,大多数12字符的口令都符合网上或办公场所使用的很多现代口令策略。
允许‘Password1’这样的弱口令出现的口令策略根本没有安全意义,这样的口令策略存在,不过是为了在审计时可以勾选掉合规表格的一个方框而已。
如果样本口令数据集是不良口令,那么,什么样的口令才是好口令呢?专家说:个性化就好。
弄个容易记忆的励志句,过去经历过且不会改变的东西,把空格啊标点符号啊之类平时书写时会用到的所有东西都写上。
如果用到很多个口令,且记不住,那就写下来。这比在多个网站上用同一个简单密码安全多了。世界上有几十亿人都可以在线猜解你的口令,但几乎没人能偷走你写了口令的那张纸。