近日,密碼管理工具 NordPass 發佈了 2024 年全球各個國家最常用的密碼名單,結果顯示用戶仍在使用眾所周知的弱密碼。統計數據顯示,今年國內最常見的密碼是“123456”;第二個和第三個最常見的密碼同樣如此,
下圖是中國區最常見的密碼設置
說實話,有點搞笑
目前絕大部分網站對於註冊賬號的密碼強度分為3個等級:弱密碼、中密碼、強密碼。大部分網站會引導用戶填寫密碼的時候混合大寫字母、字符和數字的強密碼。
在中文語境下,大家印象中的比較安全的密碼可能是:
- 化學方程式:CH4+2O2=CO2+2H2O
- 鍵盤順序法:1qaz@WSX
- 名字+生日:cxk20011010
- 網站地址+特定數字:xiaoheih123
美國國家標準和技術協會(下文簡稱NIST)曾經撰寫了一份名為NIST Special Publication 800-63的文檔,建議大家設置密碼時混合大寫字母、字符和數字,並定期修改。目前大部分網站的賬號密碼,也是這樣要求的。
但是很快,NIST提供的最新數字身份指南的新版草案中,不再推薦用戶使用這一標準,因為研究顯示此類標準,並沒有什麼卵用,由於計算機算力的提升,結合密碼本破解,這種程度的密碼已經無法防禦住擁有超強算力的黑客組織了。
另外研究顯示,頻繁的更改密碼沒有預想的效果,達不到保護密碼安全的目的。因為大多數人應對 90 天更改密碼要求採取的做法是將現有密碼略微修改一下,比如 Pa55word!1 改為 Pa55word!2,完全起不到保護作用,很容易被猜出。
Authenticator
所以,如果你下載微軟開發的雙重驗證工具Authenticator,他會給你生成很多非常複雜的登錄口令:
所謂的強密碼
真正重要的是它的多重驗證功能(MFA)我們常說的手機令牌就是MFA之一,一個安全的賬號不能只依賴於複雜的密碼,而應該有多重驗證,比如手機驗證碼(雖然偽基站可以做中間人攻擊,),手機令牌或者IP限定訪問。
多重驗證流程
很多人可能會反駁我,steam有手機令牌,為什麼還會被盜號,這個我之前的文章中講過,主要原因是Steam會在用戶電腦裡存儲授權文件,該文件被木馬上傳到了盜號服務器,才是被盜號的根源所在。本質還是steam身份認證有設計缺陷。
所以NSIT給出的一個建議是企業或者網站應該使用自適應多重身份驗證,即通過使用上下文用戶信息來動態增加或減少用戶身份驗證步驟,例如:失敗登錄的嘗試次數,用戶的地理位置,地理速度或連續登錄嘗試之間的物理距離,用於登錄的設備,源 IP 地址,同時對存儲的密碼鹽化哈希 MAC 處理。所以說責任在企業,面對有備而來的黑客,個人其實能做的並不多。
不管即使研究表明複雜密碼並面對盜號者表現並沒有那麼好,但是仍要避免使用
參考
1.知乎:強密碼和弱密碼並沒有什麼區別?NIST密碼安全標準更新:不再建議密碼要求混合大寫字母、字符和數字
2.norfpass2024最受歡迎密碼
3.微軟:大部分密碼複雜性努力都是徒勞的