微软研究人员: 很多情况下重复使用弱口令是必要的
作者:星期一, 七月 28, 20142

password_thumb.jpg

在很多互联网安全管理的培训中, 一个常常被提及的密码管理的原则就是“要使用复杂密码, 不要重复使用密码”, 然而, 微软的研究人员在最近的一篇论文中研究指出, 对于用户存在大量账户的情况下, 对于不重要的站点应该重复使用弱密码。 这样能够帮助用户更好的记住那些强密码以便用于真正重要的站点。

“要使用复杂密码, 不要重复使用密码”这个原则确实没错, 事实上, 很多用户正是因为在一个站点的密码被盗取而导致黑客入侵到他们在其他站点的账户。 然而, 微软的研究人员Dinei Florencio, Cormac Herley以及加拿大Carleton大学的Paul C van Corschot 在最近发表的一篇名为“密码组合以及用户精力的有限性, 可持续管理大量账户”的论文中对这一原则发起了挑战。 他们认为, 密码的重复使用在低风险站点上是必要的, 这样能够使得用户记得住那些复杂的需要用在重要站点的密码。

他们认为, 用户应该在那些免费的, 不存储重要信息的站点重复使用弱密码, 这样能够让他们更好地记住那些复杂难记的密码并用在重要的站点如网上银行上。 “由于难以记忆, 人们采用密码的复杂度随着密码数量的增加而降低。 这意味着密码重复使用是密码管理中的一个必要手段。如果对于密码复杂度有要求的话, 密码的重复使用是不可避免的。”

对于那些没有什么用户个人信息即使被黑也无所谓的站点, 应该可以重复使用一些简单易记的密码。 因为对于这些站点来说, 让用户花费精力去记忆并管理复杂的密码是一种浪费,而对于那些存有用户重要信息的站点, 应该采用复杂并且独特的密码加以防护。

论文的作者注意到了这样一个现象, 那就是, 人们对于密码的记忆通常都很糟糕, 而且往往对安全问题也并不是太在意。 比如根据2012年的一份调查, 英国人在20个常用账户中通常只使用5个密码, 而4%的人则对所有账户只用一个密码。

论文的作者也对企业密码管理中常用的要求用户定期重置密码发出质疑。 因为定期重置密码会导致用户在密码的选择上倾向于选择简单易记的密码。 此外, 论文作者也对通常认为的怎么是一个好的密码表示了不同的观点, 他们认为, 做为密码, 一个由字母数字和非字母符号组合的无意义的字符串并不如一个好记的有意义的句子更好。

有兴趣的读者可以参考论文原文[wpdm_file id=42]

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章