研究揭示口令命名慘不忍睹 把口令寫下來竟成最佳實(shí)踐?

責(zé)任編輯:editor005

作者:Venvoo

2016-08-09 15:21:20

摘自:安全牛網(wǎng)

研究表明,大多數(shù)口令的組織方式非常差,而且與基本的PIN碼相差不大。”  在Salted Hash收集到的原始數(shù)據(jù)中,所謂的基礎(chǔ)詞匯,或者換言之,用于生成某個(gè)特定口令的詞,展現(xiàn)了另外一個(gè)問題。

研究表明,大多數(shù)口令的組織方式非常差,而且與基本的PIN碼相差不大。

口令是一個(gè)難題,然而無論對(duì)于工作場景還是家庭環(huán)境而言,它都是認(rèn)證的主要方式。近期,加鹽哈希(Salted Hash)研究了126357個(gè)在2016年釣魚攻擊中泄露賬戶的口令,研究結(jié)果令人沮喪無奈。

1

這種口令研究的想法出現(xiàn)的時(shí)間并不長,曾有一家廠商在網(wǎng)上發(fā)布了“最爛口令”名單,而它看上去和上一年的版本完全一樣。

在這類列表保持單調(diào)循環(huán)的同時(shí),有一類問題也會(huì)時(shí)常浮現(xiàn)在人們腦海中:這些口令是不是從那些用戶并不在乎賬戶泄露與否的網(wǎng)站上獲取的呢?人們是否真的會(huì)選擇這么差勁的口令?我們沒有靠直覺假設(shè)答案是肯定的,而是親自檢查了一些遭到泄露的數(shù)據(jù)記錄。

為了做到這一點(diǎn),Salted Hash收集了暗網(wǎng)反復(fù)出現(xiàn)的釣魚記錄。之后使用了Robin Wood制作的Pipal和T.Alexander Lystad制作的Passpal來對(duì)原始數(shù)據(jù)進(jìn)行分類編制。樣本集合里的釣魚活動(dòng)包括了針對(duì)微軟、蘋果、谷歌、Spotify、PayPal賬戶的攻擊,此外還有銀行和社交網(wǎng)絡(luò)登陸信息。有些活動(dòng)總體制造了上百甚至上千受害者,其它的規(guī)模就小得多。該研究所用的基礎(chǔ)口令集合是依賴于四個(gè)月的數(shù)據(jù)收集的。

我們希望能夠看到比那些出現(xiàn)在“最爛”名單里強(qiáng)度更高的口令。畢竟這些都是高價(jià)值賬戶。然而,我們的假設(shè)錯(cuò)得離譜。研究結(jié)果足以讓安全管理員哭出來。

Steve Traynor是CSO Online的藝術(shù)主管,他利用了Salted Hash收集到的原始數(shù)據(jù),做出了該文章的配圖。此外,他總結(jié)出了領(lǐng)英、推特、VK.com和Badoo.com等大型網(wǎng)站數(shù)據(jù)泄露事故中涉及到的10大口令。

Jessy Irwin是安全研究人員和口令支持者,她分析了研究的成果并且提出了自己的建議。

有幾種很口令快抓住了她的眼球。它們似乎意味著人們認(rèn)為PIN形式的口令更加好用;盡管重用簡單的PIN碼或者隨處可見的鍵盤數(shù)字組合與使用常見、不安全的口令相差無幾。

“最最常見的情況是,人們使用簡單的口令和數(shù)字組合,節(jié)省時(shí)間并防止自己忘記口令時(shí)帶來的麻煩。這意味著,這種想法對(duì)通常的用戶而言十分流行,而且非常危險(xiǎn)。

這是否屬于安全行業(yè)經(jīng)年累月制造的問題呢?我們是否讓人們習(xí)慣于使用簡單口令?Per Thorsheim在2010年創(chuàng)建了PasswordsCon,他給出的簡短答案是:沒錯(cuò)。

“對(duì)于口令的常識(shí)幾乎總是建立在老舊的觀念、民俗,甚至神話上。大多數(shù)人們用于創(chuàng)建口令的句柄是過時(shí)且無關(guān)緊要的,并且在技術(shù)層面或邏輯層面上有錯(cuò)誤。與創(chuàng)建口令有關(guān)的邏輯和技術(shù)問題大多數(shù)都存在于人類的極限上。”

在Salted Hash收集到的原始數(shù)據(jù)中,所謂的基礎(chǔ)詞匯,或者換言之,用于生成某個(gè)特定口令的詞,展現(xiàn)了另外一個(gè)問題。許多該集合中的基礎(chǔ)詞匯代表名字或地點(diǎn),以及其它個(gè)人元素。

“對(duì)于口令而言,人們需要讓口令可用和機(jī)器需要讓口令來保證安全這兩種需求完全不同。’你知道的某事’在口令認(rèn)證中成為了最弱的一環(huán),因?yàn)榇嬖谌祟愑洃浐痛竽X運(yùn)作方式的極限。人們很喜歡用家人、喜歡的球隊(duì)、喜歡電影的名字來作為口令,而根本不去考慮他們的其它口令和剛剛創(chuàng)建的那個(gè)一樣。對(duì)于計(jì)算機(jī)而言,可用的東西,即強(qiáng)、長、隨機(jī)、獨(dú)特的口令正處在人類存在方式的反面。而且,由于將計(jì)算機(jī)的需求強(qiáng)加在人類身上,我們得到的結(jié)果是相當(dāng)、相當(dāng)弱的口令。”

特殊字符是另外一個(gè)問題。因?yàn)槿藗兛蛇x擇的空間并不大——哪怕他們真的用了特殊字符。以下的字符是我們收集的126357個(gè)口令中最常用的,它們按照常見程度高低從左到右排序。

! * ? $ # / & ” + % ) ( [ = , ] ^ ; { > ‘ } é ` ~ | < : è .

注意:] 和 ^ 之間有個(gè)空格符

“這個(gè)數(shù)據(jù)集里顯而易見的元素是,數(shù)據(jù)泄露事件中最常見的密碼里絕對(duì)沒有特殊字符。”

“盡管這有可能被歸納到用戶的懶惰上,所有這些口令在移動(dòng)設(shè)備上都非常容易輸入,而且不需要切換鍵盤或者換到某種輸入復(fù)雜的鍵盤。特別需要提起注意的是,對(duì)移動(dòng)口令的需求與臺(tái)式機(jī)不同,而且世界的大多數(shù)都是通過移動(dòng)設(shè)備開始進(jìn)入技術(shù)時(shí)代的。毫無疑問這對(duì)口令強(qiáng)度和網(wǎng)絡(luò)安全都會(huì)有所影響。”

樣本集合中的大多數(shù)口令都是八個(gè)字符長度,這是由于多數(shù)口令策略都將它設(shè)為最低限制。但是第二位的口令是六位的。

Authy公司副總裁、總經(jīng)理Marc Boroditsky說:“口令復(fù)雜性指南只對(duì)那些給每個(gè)應(yīng)用都設(shè)置不同口令的用戶有效。”該公司提供Twilio服務(wù)。

此外,他認(rèn)為,如果期待用戶能夠自己承擔(dān)對(duì)每個(gè)站點(diǎn)選擇不同的復(fù)雜口令,將是不負(fù)責(zé)任的。“這就是為什么其它方法,比如雙因素認(rèn)證,值得部署。”

Salted Hash收集的數(shù)據(jù)表明,口令越長,就越不常見。然而,這并不意味著更長的口令就更好。

盡管僅有3%的口令擁有12個(gè)字符,它們?nèi)耘f容易被短語和詞匯猜測攻擊影響。比如jamesbond007或123qweasdzxc。

具有諷刺意味的是,大多數(shù)此類12位口令都滿足辦公室或在線平臺(tái)推行的許多現(xiàn)代口令策略。“允許Password1這樣的弱口令的密碼策略并不全都是關(guān)于安全的:它們存在,僅僅是因?yàn)槟軌蛟诤弦?guī)性表格上打一個(gè)勾。”

因此如果我們數(shù)據(jù)集合里的例子屬于不好的口令,什么樣的才是好口令?Salted Hash詢問了Per Torsheim的想法,得到的答案相當(dāng)簡單:讓它私人化。

“創(chuàng)造一個(gè)正面的、有利于你記憶的口令,它可能是來自你的歷史,未來不會(huì)改變。再使用傳統(tǒng)一點(diǎn)的方法,加上空格鍵和其它元素。如果你有許多口令,沒法一次都記住,就寫下來。這比起在多個(gè)設(shè)備之間共享同一個(gè)口令要安全多了。數(shù)十億人有能力在互聯(lián)網(wǎng)上猜測口令,但極少有人能偷到你寫著口令的紙。”

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)