研究揭示口令命名惨不忍睹 把口令写下来竟成最佳实践?
作者:星期二, 八月 9, 20160

研究表明,大多数口令的组织方式非常差,而且与基本的PIN码相差不大。

口令是一个难题,然而无论对于工作场景还是家庭环境而言,它都是认证的主要方式。近期,加盐哈希(Salted Hash)研究了126357个在2016年钓鱼攻击中泄露账户的口令,研究结果令人沮丧无奈。

1

这种口令研究的想法出现的时间并不长,曾有一家厂商在网上发布了“最烂口令”名单,而它看上去和上一年的版本完全一样。

在这类列表保持单调循环的同时,有一类问题也会时常浮现在人们脑海中:这些口令是不是从那些用户并不在乎账户泄露与否的网站上获取的呢?人们是否真的会选择这么差劲的口令?我们没有靠直觉假设答案是肯定的,而是亲自检查了一些遭到泄露的数据记录。

为了做到这一点,Salted Hash收集了暗网反复出现的钓鱼记录。之后使用了Robin Wood制作的Pipal和T.Alexander Lystad制作的Passpal来对原始数据进行分类编制。样本集合里的钓鱼活动包括了针对微软、苹果、谷歌、Spotify、PayPal账户的攻击,此外还有银行和社交网络登陆信息。有些活动总体制造了上百甚至上千受害者,其它的规模就小得多。该研究所用的基础口令集合是依赖于四个月的数据收集的。

我们希望能够看到比那些出现在“最烂”名单里强度更高的口令。毕竟这些都是高价值账户。然而,我们的假设错得离谱。研究结果足以让安全管理员哭出来。

Steve Traynor是CSO Online的艺术主管,他利用了Salted Hash收集到的原始数据,做出了该文章的配图。此外,他总结出了领英、推特、VK.com和Badoo.com等大型网站数据泄露事故中涉及到的10大口令。

Jessy Irwin是安全研究人员和口令支持者,她分析了研究的成果并且提出了自己的建议。

有几种很口令快抓住了她的眼球。它们似乎意味着人们认为PIN形式的口令更加好用;尽管重用简单的PIN码或者随处可见的键盘数字组合与使用常见、不安全的口令相差无几。

“最最常见的情况是,人们使用简单的口令和数字组合,节省时间并防止自己忘记口令时带来的麻烦。这意味着,这种想法对通常的用户而言十分流行,而且非常危险。

这是否属于安全行业经年累月制造的问题呢?我们是否让人们习惯于使用简单口令?Per Thorsheim在2010年创建了PasswordsCon,他给出的简短答案是:没错。

“对于口令的常识几乎总是建立在老旧的观念、民俗,甚至神话上。大多数人们用于创建口令的句柄是过时且无关紧要的,并且在技术层面或逻辑层面上有错误。与创建口令有关的逻辑和技术问题大多数都存在于人类的极限上。”

在Salted Hash收集到的原始数据中,所谓的基础词汇,或者换言之,用于生成某个特定口令的词,展现了另外一个问题。许多该集合中的基础词汇代表名字或地点,以及其它个人元素。

“对于口令而言,人们需要让口令可用和机器需要让口令来保证安全这两种需求完全不同。’你知道的某事’在口令认证中成为了最弱的一环,因为存在人类记忆和大脑运作方式的极限。人们很喜欢用家人、喜欢的球队、喜欢电影的名字来作为口令,而根本不去考虑他们的其它口令和刚刚创建的那个一样。对于计算机而言,可用的东西,即强、长、随机、独特的口令正处在人类存在方式的反面。而且,由于将计算机的需求强加在人类身上,我们得到的结果是相当、相当弱的口令。”

特殊字符是另外一个问题。因为人们可选择的空间并不大——哪怕他们真的用了特殊字符。以下的字符是我们收集的126357个口令中最常用的,它们按照常见程度高低从左到右排序。

! * ? $ # / & ” + % ) ( [ = , ] ^ ; { > ‘ } é \ ` ~ | < : è .

注意:] 和 ^ 之间有个空格符

“这个数据集里显而易见的元素是,数据泄露事件中最常见的密码里绝对没有特殊字符。”

“尽管这有可能被归纳到用户的懒惰上,所有这些口令在移动设备上都非常容易输入,而且不需要切换键盘或者换到某种输入复杂的键盘。特别需要提起注意的是,对移动口令的需求与台式机不同,而且世界的大多数都是通过移动设备开始进入技术时代的。毫无疑问这对口令强度和网络安全都会有所影响。”

样本集合中的大多数口令都是八个字符长度,这是由于多数口令策略都将它设为最低限制。但是第二位的口令是六位的。

Authy公司副总裁、总经理Marc Boroditsky说:“口令复杂性指南只对那些给每个应用都设置不同口令的用户有效。”该公司提供Twilio服务。

此外,他认为,如果期待用户能够自己承担对每个站点选择不同的复杂口令,将是不负责任的。“这就是为什么其它方法,比如双因素认证,值得部署。”

Salted Hash收集的数据表明,口令越长,就越不常见。然而,这并不意味着更长的口令就更好。

尽管仅有3%的口令拥有12个字符,它们仍旧容易被短语和词汇猜测攻击影响。比如jamesbond007或123qweasdzxc。

具有讽刺意味的是,大多数此类12位口令都满足办公室或在线平台推行的许多现代口令策略。“允许Password1这样的弱口令的密码策略并不全都是关于安全的:它们存在,仅仅是因为能够在合规性表格上打一个勾。”

因此如果我们数据集合里的例子属于不好的口令,什么样的才是好口令?Salted Hash询问了Per Torsheim的想法,得到的答案相当简单:让它私人化。

“创造一个正面的、有利于你记忆的口令,它可能是来自你的历史,未来不会改变。再使用传统一点的方法,加上空格键和其它元素。如果你有许多口令,没法一次都记住,就写下来。这比起在多个设备之间共享同一个口令要安全多了。数十亿人有能力在互联网上猜测口令,但极少有人能偷到你写着口令的纸。”

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章