账号密码该怎么设置更安全?


3楼猫 发布时间:2024-06-08 10:02:34 作者:山东大学招生处 Language

近日,密码管理工具 NordPass 发布了 2024 年全球各个国家最常用的密码名单,结果显示用户仍在使用众所周知的弱密码。统计数据显示,今年国内最常见的密码是“123456”;第二个和第三个最常见的密码同样如此,

分别为“admin″和“111111

下图是中国区最常见的密码设置

账号密码该怎么设置更安全?-第0张

说实话,有点搞笑

目前绝大部分网站对于注册账号的密码强度分为3个等级:弱密码、中密码、强密码。大部分网站会引导用户填写密码的时候混合大写字母、字符和数字的强密码。

账号密码该怎么设置更安全?-第1张

在中文语境下,大家印象中的比较安全的密码可能是:

  • 化学方程式:CH4+2O2=CO2+2H2O
  • 键盘顺序法:1qaz@WSX
  • 名字+生日:cxk20011010
  • 网站地址+特定数字:xiaoheih123

美国国家标准和技术协会(下文简称NIST)曾经撰写了一份名为NIST Special Publication 800-63的文档,建议大家设置密码时混合大写字母、字符数字,并定期修改。目前大部分网站的账号密码,也是这样要求的。

但是很快,NIST提供的最新数字身份指南的新版草案中,不再推荐用户使用这一标准,因为研究显示此类标准,并没有什么卵用,由于计算机算力的提升,结合密码本破解,这种程度的密码已经无法防御住拥有超强算力的黑客组织了。

另外研究显示,频繁的更改密码没有预想的效果,达不到保护密码安全的目的。因为大多数人应对 90 天更改密码要求采取的做法是将现有密码略微修改一下,比如 Pa55word!1 改为 Pa55word!2,完全起不到保护作用,很容易被猜出。

账号密码该怎么设置更安全?-第2张

Authenticator

所以,如果你下载微软开发的双重验证工具Authenticator,他会给你生成很多非常复杂的登录口令:

账号密码该怎么设置更安全?-第3张

所谓的强密码

真正重要的是它的多重验证功能(MFA)我们常说的手机令牌就是MFA之一,一个安全的账号不能只依赖于复杂的密码,而应该有多重验证,比如手机验证码(虽然伪基站可以做中间人攻击,),手机令牌或者IP限定访问。

账号密码该怎么设置更安全?-第3张

多重验证流程

很多人可能会反驳我,steam有手机令牌,为什么还会被盗号,这个我之前的文章中讲过,主要原因是Steam会在用户电脑里存储授权文件,该文件被木马上传到了盗号服务器,才是被盗号的根源所在。本质还是steam身份认证有设计缺陷。

所以NSIT给出的一个建议是企业或者网站应该使用自适应多重身份验证,即通过使用上下文用户信息来动态增加或减少用户身份验证步骤,例如:失败登录的尝试次数,用户的地理位置,地理速度或连续登录尝试之间的物理距离,用于登录的设备,源 IP 地址,同时对存储的密码盐化哈希 MAC 处理。所以说责任在企业,面对有备而来的黑客,个人其实能做的并不多。

不管即使研究表明复杂密码并面对盗号者表现并没有那么好,但是仍要避免使用

纯数字/字母短密码,以及带有明显规律的构造密码(如网站名+123),来降低被强力攻击的风险。

参考

1.知乎:强密码和弱密码并没有什么区别?NIST密码安全标准更新:不再建议密码要求混合大写字母、字符和数字

2.norfpass2024最受欢迎密码

3.微软:大部分密码复杂性努力都是徒劳的


© 2022 3楼猫 下载APP 站点地图 广告合作:asmrly666@gmail.com