密码可能是世界上最烦人的东西了,除了在电视上播放节目之外。每个人都有密码——用于所有东西:电子邮件、社交媒体、网上银行、家里的电脑、工作电脑和博客平台。每个人都知道,至少在理论上,密码应该是什么样的:大写字母、小写字母、数字、特殊字符——所有内容都应该包含并且数量充足。所以实际上到目前为止一切都很清楚。但为什么密码仍然是一个如此困难的话题?
这篇客座文章是“博客安全”系列文章的一部分。从现在开始,每月都会刊登一篇 Tim Berghoff 的文章。他是IT安全公司GData的专家,对安全充满热情。
每年都会有一份新的全球最糟糕密码名单。 而像“12345678”或“password1234”甚至“abc123”这样的密码几乎总是位列前十。但是像“QaWsEdRfTg”这样的字母结构也可以在这样的密码 墨西哥 WhatsApp 数据 列表中找到——其原因将在后面解释。但实际上,这样的密码早就应该成为过去了。
这个原理已有几百年历史,至今仍在使用。是时候慢慢和它说再见了。为了合理安全,我们现在需要长度超过 20 个字符并且不能出现在任何字典中的密码。很少有人能在没有帮助的情况下做到这一点。而这种认识只留下了两种可能性:要么密码原理最终被淘汰,为某种全新的东西腾出空间,要么它的使用必须以这样一种方式设计,使安全加密再次成为可能。这是可能的。
密码不会被黑客入侵
有关密码被“黑客”的报道屡见不鲜。但事实完全不是这样。许多被媒体广泛报道的惊人黑客事件其实都是两种不同类型攻击的结果:网络钓鱼和所谓的“凭证重用”,即多次使用一个密码。包含泄露用户数据的数据库经常出现在互联网上,犯罪分子利用它们来访问其他帐户。
如果在数十万个登录详细信息中,有一些在 LinkedIn 和 Facebook 上都使用,那就不足为奇了。老实说:谁没有在多个账户上使用过同一个密码呢?我以前确实这样做过——尽管我应该知道这是个坏主意。像许多其他人一样,我有时只是很懒惰。我后来改正了吗?自然。而且也并不难。稍后会再详细介绍。
顺便说一句,网站运营商和网上商店等不存储用户的密码,而是存储根据密码计算出的字符串,即所谓的哈希值。至少应该如此。因此,如果您在某个地方使用密码发送功能,然后没有收到临时密码或密码重置链接,而是收到了您的真实密码,那么以后请远离这项服务。任何人都不应该将您的密码存储在任何地方!
几乎每个人都知道网络钓鱼。这些电子邮件旨在诱使收件人透露个人信息或付款详细信息,例如信用卡号或 PayPal 登录信息。这些尝试既有非常笨拙的尝试(“您赢了!请立即向我们发送您的全名、出生日期、护照号码和邮政地址,以领取您的奖品”),也有制作精良的网络钓鱼电子邮件和网站,即使是训练有素的人也难以识别。例如,后者可能声称来自您的银行并要求进行“信用卡验证”。这两种方法仍然非常成功。很遗憾!
我们人类无法接受巧合
密码有一个主要问题:没有人愿意记住几十个密码。我们都很懒(包括我)。虽然随机性是好密码的标志,但这实际上是人类的致命弱点:我们不擅长创建随机模式。你学不会这个。相反,我们可以使用模式(无论是有意识的还是无意识的)。这是我们的天性。
另一方面,模式识别是计算机最强大的功能之一。你还记得那个颇为神秘的密码“QaWsEdRfTg”吗?这也遵循一个非常具体的模式。仔细观察键盘。计算机可以毫不费力地准确识别此类模式。这就是为什么计算机可以创建更长、更好、真正随机的字符串。
稍微题外话:从数学的角度来看,“机会”本身就是一个话题。不过,我只能推荐马特·帕克 (Matt Parker) 的《Humble Pi – 数学错误的喜剧》一书。 “Tltloay Rodamn”一章专门讨论了巧合这个话题——而且,这篇文章并不是由出版商赞助的。
您可能已经知道本文的发展方向。密码重复使用和人们随机选择密码的情况越来越多。雇主或服务提供商的要求迫使我们更改密码。
结果是:密码变得越来越难记住,但在计算机的帮助下却更容易猜到。说实话:几乎每个人都用“Password02”替换了“Password01”,然后又用“Password03”替换了,依此类推。那么该怎么办呢?