當前位置：安全 → 行業動態 → 正文

研究揭示口令命名慘不忍睹把口令寫下來竟成最佳實踐？

責任編輯：editor005 作者：Venvoo |來源：企業網D1Net 2016-08-09 15:21:20 本文摘自：安全牛網

研究表明，大多數口令的組織方式非常差，而且與基本的PIN碼相差不大。

口令是一個難題，然而無論對于工作場景還是家庭環境而言，它都是認證的主要方式。近期，加鹽哈希(Salted Hash)研究了126357個在2016年釣魚攻擊中泄露賬戶的口令，研究結果令人沮喪無奈。

這種口令研究的想法出現的時間并不長，曾有一家廠商在網上發布了“最爛口令”名單，而它看上去和上一年的版本完全一樣。

在這類列表保持單調循環的同時，有一類問題也會時常浮現在人們腦海中：這些口令是不是從那些用戶并不在乎賬戶泄露與否的網站上獲取的呢？人們是否真的會選擇這么差勁的口令？我們沒有靠直覺假設答案是肯定的，而是親自檢查了一些遭到泄露的數據記錄。

為了做到這一點，Salted Hash收集了暗網反復出現的釣魚記錄。之后使用了Robin Wood制作的Pipal和T.Alexander Lystad制作的Passpal來對原始數據進行分類編制。樣本集合里的釣魚活動包括了針對微軟、蘋果、谷歌、Spotify、PayPal賬戶的攻擊，此外還有銀行和社交網絡登陸信息。有些活動總體制造了上百甚至上千受害者，其它的規模就小得多。該研究所用的基礎口令集合是依賴于四個月的數據收集的。

我們希望能夠看到比那些出現在“最爛”名單里強度更高的口令。畢竟這些都是高價值賬戶。然而，我們的假設錯得離譜。研究結果足以讓安全管理員哭出來。

Steve Traynor是CSO Online的藝術主管，他利用了Salted Hash收集到的原始數據，做出了該文章的配圖。此外，他總結出了領英、推特、VK.com和Badoo.com等大型網站數據泄露事故中涉及到的10大口令。

Jessy Irwin是安全研究人員和口令支持者，她分析了研究的成果并且提出了自己的建議。

有幾種很口令快抓住了她的眼球。它們似乎意味著人們認為PIN形式的口令更加好用；盡管重用簡單的PIN碼或者隨處可見的鍵盤數字組合與使用常見、不安全的口令相差無幾。

“最最常見的情況是，人們使用簡單的口令和數字組合，節省時間并防止自己忘記口令時帶來的麻煩。這意味著，這種想法對通常的用戶而言十分流行，而且非常危險。

這是否屬于安全行業經年累月制造的問題呢？我們是否讓人們習慣于使用簡單口令？Per Thorsheim在2010年創建了PasswordsCon，他給出的簡短答案是：沒錯。

“對于口令的常識幾乎總是建立在老舊的觀念、民俗，甚至神話上。大多數人們用于創建口令的句柄是過時且無關緊要的，并且在技術層面或邏輯層面上有錯誤。與創建口令有關的邏輯和技術問題大多數都存在于人類的極限上。”

在Salted Hash收集到的原始數據中，所謂的基礎詞匯，或者換言之，用于生成某個特定口令的詞，展現了另外一個問題。許多該集合中的基礎詞匯代表名字或地點，以及其它個人元素。

“對于口令而言，人們需要讓口令可用和機器需要讓口令來保證安全這兩種需求完全不同。’你知道的某事’在口令認證中成為了最弱的一環，因為存在人類記憶和大腦運作方式的極限。人們很喜歡用家人、喜歡的球隊、喜歡電影的名字來作為口令，而根本不去考慮他們的其它口令和剛剛創建的那個一樣。對于計算機而言，可用的東西，即強、長、隨機、獨特的口令正處在人類存在方式的反面。而且，由于將計算機的需求強加在人類身上，我們得到的結果是相當、相當弱的口令。”

特殊字符是另外一個問題。因為人們可選擇的空間并不大——哪怕他們真的用了特殊字符。以下的字符是我們收集的126357個口令中最常用的，它們按照常見程度高低從左到右排序。

! * ? $ # / & ” + % ) ( [ = , ] ^ ; { > ‘ } é ` ~ | < : è .

注意：] 和 ^ 之間有個空格符

“這個數據集里顯而易見的元素是，數據泄露事件中最常見的密碼里絕對沒有特殊字符。”

“盡管這有可能被歸納到用戶的懶惰上，所有這些口令在移動設備上都非常容易輸入，而且不需要切換鍵盤或者換到某種輸入復雜的鍵盤。特別需要提起注意的是，對移動口令的需求與臺式機不同，而且世界的大多數都是通過移動設備開始進入技術時代的。毫無疑問這對口令強度和網絡安全都會有所影響。”

樣本集合中的大多數口令都是八個字符長度，這是由于多數口令策略都將它設為最低限制。但是第二位的口令是六位的。

Authy公司副總裁、總經理Marc Boroditsky說：“口令復雜性指南只對那些給每個應用都設置不同口令的用戶有效。”該公司提供Twilio服務。

此外，他認為，如果期待用戶能夠自己承擔對每個站點選擇不同的復雜口令，將是不負責任的。“這就是為什么其它方法，比如雙因素認證，值得部署。”

Salted Hash收集的數據表明，口令越長，就越不常見。然而，這并不意味著更長的口令就更好。

盡管僅有3%的口令擁有12個字符，它們仍舊容易被短語和詞匯猜測攻擊影響。比如jamesbond007或123qweasdzxc。

具有諷刺意味的是，大多數此類12位口令都滿足辦公室或在線平臺推行的許多現代口令策略。“允許Password1這樣的弱口令的密碼策略并不全都是關于安全的：它們存在，僅僅是因為能夠在合規性表格上打一個勾。”

因此如果我們數據集合里的例子屬于不好的口令，什么樣的才是好口令？Salted Hash詢問了Per Torsheim的想法，得到的答案相當簡單：讓它私人化。