錯誤的密碼實踐以及如何避免它們
2004年,在微軟年度IT論壇期間,比爾蓋茨大膽宣布密碼已經死亡。通常,沒有多少人會願意挑戰他的話,特別是當他談論與計算機有關的事情時。然而,當他說密碼即將與其製造商見面時,他有點不對勁。
大約十四年過去了,密碼仍然非常活躍。事實上,它現在保護的信息遠遠超過微軟聯合創始人預測其消亡時的信息。這包括我們的銀行賬戶,我們的電子郵件通信,我們的社交網絡,我們最喜歡的電視節目,我們的音樂 - 基本上,我們整個在線生活,在某些情況下,我們的部分線下存在。
但密碼是否仍然無處不在,因為它是完美的身份驗證機制,無法改進?不,不是。實際上,密碼已經一次又一次證明它們是保護有價值信息的一種糟糕方式。
不要相信我們的話。根據Verizon的2017年數據洩露調查報告 ,2016年數據洩露事件中約有62%涉及黑客攻擊,其中超過80%涉及弱密碼和/或被盜密碼。
這就是常識所規定的,這意味著在驗證我們在互聯網上的身份時,密碼遠非理想。然而,儘管比爾蓋茨的預測,我們尚未提出一種被廣泛採用的密碼認證系統。
普通用戶必須接受密碼才能存在,並且他們必須比以往更尊重他們。問題是,正如GCFLearnFree.org發布的信息圖所示,很少有人能夠做到這一點。
哈爾走了簡單的路線。他可能為他的孫子感到驕傲,他每天都在想著他。在這方面,使用小男孩的名字和年齡似乎是避免“忘記密碼”鏈接的好方法。 “CodyBanks8”,他選擇的密碼,有十個字符,一個數字和兩個大寫字母。根據zxcvbn算法,它具有大約23位的熵(測量密碼的不可預測性),這遠非理想。不過,這不是唯一的問題。作為一個自豪和慈愛的祖父,哈爾還在他的Instagram上發布了這個小男孩的照片(是的,老年人也使用Instagram),並且他已經在標題中寫下了他的孫子的名字。這使黑客的工作(如果你可以稱之為)相當容易。
在社交網絡的時代,在互聯網上尋找關於你和你所愛的人的大量信息是最少的努力。有些人知道如何保持他們的Facebook / Instagram / Twitter提要私密,但很多人不知道,即使你的帖子只與你的朋友分享,這也不能保證你的安全。
無論如何,您應該決定是否有人可以看到您的社交媒體活動. 只要確保任何根據它猜測密碼的嘗試都不成功。
我們看到與Jarrod幾乎相同的故事。他的密碼“ILuvFishing”略長於Hal,它的熵稍微好一些(大約25位)。然而,這並不重要,因為他的個人資料描繪了Jarrod練習他最喜歡的愛好,黑客知道如果你的Facebook時間線上充滿了Metallica的歌曲和圖片,那麼你的密碼很可能是“MetallicaRocks!”。用戶不應該停止在社交網絡上分享他們感興趣的內容。但是,他們應該停止在密碼中使用對它們的引用。
布萊恩知道這一點。 “BrAveZ!2”可能只有八個字符長(不一定是理想的長度,必須說),但它包含三個大寫字母,一個感嘆號和一個數字,這意味著熵大約為30位,它更難破解。密碼不是可以輕易連接到他的名字或單詞這一事實也很難猜測。問題是,密碼不會被黑客攻擊或猜到。他們也被盜了,這對布萊恩來說是一個問題。
他有一個密碼用於他正在使用的所有網站,如果其中一個服務遭到入侵(服務每天都受到損害),他的所有帳戶都會暴露出來。利用重用密碼是影響用戶一段時間的最容易和最具破壞性的方法之一,在這種情況下,長度和使用特殊字符並不意味著什麼。也就是說,密碼絕不應該簡單。例證:艾米利亞。
“123abc123”具有僅6.4位的熵,這意味著它可以立即被強制強制。但是,黑客不需要暴力破解它。許多人使用像“123abc123”這樣的模式,因為它們易於打字且易於記憶。這就是為什麼,最常見的密碼(包括“123456”,“密碼”,“qwerty”等)包含在黑客在試圖破壞帳戶時使用的密碼詞典中。有時候,只需要幾次嘗試就可以進入。
到目前為止,所檢查的人都沒有實行良好的密碼衛生,因此很容易將其譴責。然而,事實是,如果沒有外部幫助,人類根本無法以安全的方式管理密碼。
2007年,微軟研究人員發現普通用戶有大約25個需要密碼的帳戶(最有可能的是,現在這個數字要高得多)。通過一些努力,你可以創建幾十個不可能猜到的密碼(在某些情況下,只是抨擊鍵盤會這樣做),但你會發現很難記住它們並記住哪一個去哪裡。但是,密碼管理器可以為您完成此操作。
Jazmin使用密碼管理器,允許她正確保護她的在線帳戶。她使用內置密碼生成器來創建“m&t7T5 $ dAY” - 一個熵超過50位的密碼,無法猜測。她的其他帳戶可以受到同樣強大的密碼的保護,最重要的是,她不必擔心記住或輸入密碼,因為她的密碼管理應用程序為她做了這些。除了更好地保護她的在線身份之外,Jazmin還帶來了其他用戶在沒有密碼管理器的情況下永遠無法擁有的便利。如果有的話,這是雙贏的。
事實證明,您(普通的互聯網用戶)不需要做任何改進密碼的事情。最好將它留給致力於這樣做的應用程序。
