近日,密码管理工具 NordPass 发布了 2024 年全球各个国家最常用的密码名单,结果显示用户仍在使用众所周知的弱密码。统计数据显示,今年国内最常见的密码是“123456”;第二个和第三个最常见的密码同样如此,
下图是中国区最常见的密码设置
说实话,有点搞笑
目前绝大部分网站对于注册账号的密码强度分为3个等级:弱密码、中密码、强密码。大部分网站会引导用户填写密码的时候混合大写字母、字符和数字的强密码。
在中文语境下,大家印象中的比较安全的密码可能是:
- 化学方程式:CH4+2O2=CO2+2H2O
- 键盘顺序法:1qaz@WSX
- 名字+生日:cxk20011010
- 网站地址+特定数字:xiaoheih123
美国国家标准和技术协会(下文简称NIST)曾经撰写了一份名为NIST Special Publication 800-63的文档,建议大家设置密码时混合大写字母、字符和数字,并定期修改。目前大部分网站的账号密码,也是这样要求的。
但是很快,NIST提供的最新数字身份指南的新版草案中,不再推荐用户使用这一标准,因为研究显示此类标准,并没有什么卵用,由于计算机算力的提升,结合密码本破解,这种程度的密码已经无法防御住拥有超强算力的黑客组织了。
另外研究显示,频繁的更改密码没有预想的效果,达不到保护密码安全的目的。因为大多数人应对 90 天更改密码要求采取的做法是将现有密码略微修改一下,比如 Pa55word!1 改为 Pa55word!2,完全起不到保护作用,很容易被猜出。
Authenticator
所以,如果你下载微软开发的双重验证工具Authenticator,他会给你生成很多非常复杂的登录口令:
所谓的强密码
真正重要的是它的多重验证功能(MFA)我们常说的手机令牌就是MFA之一,一个安全的账号不能只依赖于复杂的密码,而应该有多重验证,比如手机验证码(虽然伪基站可以做中间人攻击,),手机令牌或者IP限定访问。
多重验证流程
很多人可能会反驳我,steam有手机令牌,为什么还会被盗号,这个我之前的文章中讲过,主要原因是Steam会在用户电脑里存储授权文件,该文件被木马上传到了盗号服务器,才是被盗号的根源所在。本质还是steam身份认证有设计缺陷。
所以NSIT给出的一个建议是企业或者网站应该使用自适应多重身份验证,即通过使用上下文用户信息来动态增加或减少用户身份验证步骤,例如:失败登录的尝试次数,用户的地理位置,地理速度或连续登录尝试之间的物理距离,用于登录的设备,源 IP 地址,同时对存储的密码盐化哈希 MAC 处理。所以说责任在企业,面对有备而来的黑客,个人其实能做的并不多。
不管即使研究表明复杂密码并面对盗号者表现并没有那么好,但是仍要避免使用
参考
1.知乎:强密码和弱密码并没有什么区别?NIST密码安全标准更新:不再建议密码要求混合大写字母、字符和数字
2.norfpass2024最受欢迎密码
3.微软:大部分密码复杂性努力都是徒劳的