导语:你是否经常更换自己的账户密码?还是一个密码对应多个账户,安全性与实用性,谁会更胜一筹?
关键词:密码;安全;适用性
你的密码安全系数多高?(图片来源:Krynowek Eine)
当我们在工作场所或家中访问某些信息系统时,都需要通过某种形式的认证。我们当然知道这样做的目的:为了确保我们能获取自己的信息,而那些未经授权的人则不能。
但为什么,尽管网络安全专家常常对我们耳提面命,我们仍旧会忽视要设置复杂的密码,并且要经常更换的建议?在我们的所做和所想之间似乎存在显著差异:究竟该要安全,还是要可用性?
如今我们遇到的最多的认证方式通常应用以下三种方式的一种(或多种):
一些你知道的东西(例如一些简单的密码)
一些你拥有的东西(一张智能卡)
一些你身上的东西(指纹)
许多系统使用用户名/口令对来控制访问权,主要原因是大多数系统的接口都是某种典型的键盘。一些智能手机使用PIN码或指纹,而ATM机同时使用你拥有的事物(卡)和你知道的信息(PIN码)。
密码的所来带来的困扰
设置一串较长的不规律密码是一个不错的建议。它不失为一种保护重要信息(例如访问你的网上银行账户)访问权的安全保障。
然而,相对于必须记住由一系列无规律字符组成的15位密码(字符从A到Z,再从a 到z,数字从0到9,以及其他一些诸如! @ # $ 和%的可打印字符),大多数用户更愿意根据所保护的信息的价值来选择使用密码的复杂度。
某些账户拥有相对较弱的密码,这也是依据在账户被盗,信息泄露会造成损失高低而设立的。另外一些账户拥有更为复杂的密码,因为使用者不想自己的钱被网络罪犯偷走。以上都是对于信息价值的进行的判断。
你的密码到底有多安全?
如果你必须使用密码,那怎样才算是一个好的密码?一个密码被破解的速度有多快?
网上还能找到几个发布了常用密码列表的网址。我和珀斯(Perth)当地的科学探索中心使用了1400万个密码进行测试。
测试参与者(主要是高中学生)需要输入一个他们认为安全的密码,之后与列表进行比对。如果发现不在表上(这是稀有事件),密码将会发送到快速计算机做进一步的处理。
通过“蛮力攻击”破解法,即通过尝试六个字符的所有组合匹配,先是“aaaaaa”,然后是“aaaaab”,接着是“aaaaac”等,这台计算机可以在2秒内破解任意一个6个字符的密码。
快速计算机居然可以不费吹灰之力破解密码,这实在令人惊叹。许数用户还认为从畅销文学中截取的单词或短语在某种程度上说是安全的。但事实不是这样的(所以别想引用《指环王》或《战争与和平》中的语句作为密码了)。
较长的密码需要更长的时间来破解。一个由15个不规律字符组成的密码可能需要花掉一星期的时间,但这又回到了信息的时间价值这一话题了。如果网络罪犯需要花一个星期的时间,你的账号在这一周内是安全的,那麽你还会每周都更改一次你15位的无规律字符密码么?
其中一种增加密码安全等级的方法是使用任何两个验证步骤,即在你输入密码后,会有另外一个密码发送到类似手机这样的设备。大量的在线服务已经提供这种验证方式了。
我们需要一些其他的认证方式
如果由于从适用性问题,简单的密码是不合适的,那也有别的验证方法方法,例如现在非常流行的支付方式,即银行卡和交通卡的非接触式支付系统,小交易无需密码。
但其风险在于如果你的钱包或者皮包被盗,在你冻结卡内余额之前,也许会有小金额的钱从你的账户内被盗取。然而,事实证明,这种快捷支付方式在消费者和零售商之间非常流行的,可见方便胜过安全。
基于对人体的某些物理性质的生物识别方法,是很具有吸引力的,因为这样人们就不需要记住密码或携带智能卡了。智能手机和计算机操作系统都已经开始使用指纹扫描仪来提供一种简单而有效的认证手段。
其他已使用的生物测定设备包括视网膜扫描仪,虹膜扫描仪和语音识别。然而,尽管这些验证方式在电影之中似乎很流行,但现实生活中没有人喜欢让激光照射他们的眼睛,所以语音识别或许才是验证方式可能发展的方向。
但生物识别技术也存在众所周知的问题。这些问题对于任何认证系统都是一样的。单指纹设备的电流误差率最少大约为2%——但仍不足以单独使用。
一些系统不依赖于指纹匹配,而是匹配用户的其他行为特性。例如指纹扫描的角度和速度,这一特征对于每个人是不同的,却又是可测量和可复现的。同时也避免了物理攻击现象的发生,例如为仿冒他人而砍去他人的手指。
我们还是回到ATM的例子:现在,我们必然会使用智能卡和PIN码,因为他们易于维护且生产成本低。而从用户角度来看,只要用户的声音被录入了账户,通过对ATM发出语音指令即能从中提取现金的方式,显然更方便简单。也是更加用户友好(且更安全)的未来验证方式。
总之,在更加可靠的安全验证方案被广泛接受(同时能以低成本进行操作)时,那些继续忽略专家们针对密码的相关建议的人,一定要明确自己对安全性和适用性的取舍,考虑好自己准备在何种程度上为低安全性买单?
作者简介:
Mike Johnstone,埃迪斯科文大学软件工程的高级讲师和安全研究员
翻译:曾梓浩;审校:海带丝
原文链接:
https://theconversation.com/security-vs-usability-thats-the-choice-we-make-with-passwords-46627
留言