密码管理中的巴普洛夫心理学
作者:星期四, 五月 8, 20140

2866494834

十年来,绝大多数计算机用户已经丧失了使用强密码的美德和意识,无论安全专家和企业IT管理人员如何强调弱密码的危险性,绝大多数用户就是不为所动。

为了扭转人们强大的惰性,最近德勤会计事务所的安全顾问Lance James提出将巴甫洛夫心理学应用于密码管理系统,根据用户选择的密码给予奖励或惩罚。

举例来说,如果一位用户选择将test123@#作为密码,系统将要求用户在3天内修改密码;如果同一位用户选择了t3st123@##$x,系统在三个月内不会要求他改密码。三天的限制是根据线下破解技术破解密码所需时间计算出的,通常使用离线技术破解类似test123@#这样的较弱密码需要4.5天的事件。 James指出,人类大脑是可编程的,大脑就像是贝叶斯网络,需要训练才能适应改变。

James的密码管理系统基于对各种密码破解的时间、成本和难易程度的假设,但是有专家指出James对密码强度的分级对于今天的很多攻击者来说已经过时了,当然,这并不是今天讨论的重点。James的巴普洛夫密码管理系统的优点是通过为密码质量建立赏罚指标体系,从而让用户日积月累、潜移默化地养成设置强密码的习惯。

巴普洛夫密码管理政策与此前斯坦福大学新推出的新密码管理政策有些类似,两者都为“好密码”设置了审核和分级标准,但两者侧重点不同,斯坦福大学的密码管理政策的亮点是通过支持超长弱密码来解决移动时代的通过手机输入强密码的不便,而巴普洛夫密码管理政策则更侧重培养设置强密码的习惯。

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章