|簡體中文

比思論壇

 找回密碼
 按這成為會員
搜索



查看: 957|回復: 7
打印 上一主題 下一主題

既安全又易记的电脑密码?

[複製鏈接]
無效樓層,該帖已經被刪除
無效樓層,該帖已經被刪除

6

主題

1

好友

207

積分

小學生

Rank: 2

  • TA的每日心情
    開心
    2024-1-26 15:14
  • 簽到天數: 436 天

    [LV.9]以壇為家II

    推廣值
    0
    貢獻值
    0
    金錢
    3911
    威望
    207
    主題
    6

    簽到勳章 簽到達人

    板凳
    發表於 2012-4-13 16:01:22
    对文章没什么想法。不过对落上的签名还是很有意思。怪好的
    無效樓層,該帖已經被刪除
    5#
    無效樓層,該帖已經被刪除

    66

    主題

    1

    好友

    1495

    積分

    高中生

    Rank: 4

  • TA的每日心情
    奮斗
    2023-7-5 11:00
  • 簽到天數: 547 天

    [LV.9]以壇為家II

    推廣值
    0
    貢獻值
    43
    金錢
    1440
    威望
    1495
    主題
    66

    回文勇士 文明人 中學生 高中生 文章勇士 簽到勳章 簽到達人 男生勳章

    6#
    發表於 2012-4-20 23:46:53
    太长了,看不下去啊

    0

    主題

    0

    好友

    498

    積分

    中學生

    Rank: 3Rank: 3

  • TA的每日心情
    開心
    前天 22:46
  • 簽到天數: 409 天

    [LV.9]以壇為家II

    推廣值
    0
    貢獻值
    2
    金錢
    194
    威望
    498
    主題
    0
    7#
    發表於 2012-5-4 21:41:35
    这个密码行么:%&jhbjYY&/**?

    70

    主題

    0

    好友

    755

    積分

    高中生

    Rank: 4

  • TA的每日心情
    開心
    4 天前
  • 簽到天數: 711 天

    [LV.9]以壇為家II

    推廣值
    1
    貢獻值
    3
    金錢
    74
    威望
    755
    主題
    70
    8#
    發表於 2012-4-4 13:03:00

    密码在电脑安全防护中是无处不在的,但它们却常常起不到保护作用。好的密码必须容易记忆又不易破解,可是人们在应用中似乎更注重于容易记忆,而非不易破解。妻子、丈夫和子女的名字被广泛用于密码中。还有些人把密码设置得极为简单,如《经济学人》一位前任副主编多年来用一个字母“Z”作密码。曾经有黑客从一个叫“RockYou”的社交游戏网站偷盗了3200万密码,结果发现:这个网站1.1%的用户(36.5万人)使用的密码是“123456”或“12345”。

    根据密码设置的可预见性,电脑安全研究者(以及黑客)编制了常用密码辞典,这给那些试图破解密码的人提供了方便。但是,虽然研究者知道密码是不安全的,却很难弄清楚不安全的程度到低有多高。因为很多研究使用的样本太小,最多也就是几千个密码。像“RockYou”这样被入侵的网站提供了比较大的样本,但是在使用这类信息时有道德方面的问题,而且这类信息也是偶然才被披露的。

    然而,在一篇提交给某电脑安全研讨会的论文中,作者披露了一些过去不为人知的有关密码的真相。这个研讨会是纽约一个专业团体“电子和电气工程师协会”组织的。牛津大学的约瑟夫•邦努和互联网公司雅虎合作,得到了迄今为止最大的、包括7千万密码的样本。虽然样本中的用户都是匿名的,但还是揭示了这些用户的很多有用信息。

    邦努先生发现了一些很有意思的现象。如年龄较大的用户比年轻顾客的密码安全度要高(那些谙熟技术的年轻人不在意这些事)。说韩语和德语的用户的密码安全度最高,说印尼语的用户的密码安全度最低。与保护敏感信息如信用卡号码有关的密码只比不太重要的游戏用户密码等安全度略高一点儿。用户注册时出现的密码安全度的提示实际上不起什么作用。那些账户曾被入侵过的用户在重置密码时,并不比那些没遇到过问题的用户谨慎多少。

    但是最使电脑安全研究者们感兴趣的还是对样本的总的评估。尽管各个用户组的情况有所不同,但这7千万用户的密码从总体上说仍然具有高度的可预测性,无论是对于整个样本来说,还是对于各个用户组来说,都可以编制出可以有效地用于破解密码的词典。邦努先生很坦率地说:“黑客猜测十次就可以破解的密码,大约占到总样本的1%。”这在黑客看来是一个相当理想的结果。

    一个明显有效的措施,是在密码输入一定次数仍不正确后,禁止登录网站,就像取钱机实行的办法。虽然一些超大的网站如谷歌和微软等采取了这样的措施(以及其它一些措施),但很多网站并没有这样做。邦努先生和他的同事在2010年调查了150个大型网站,其中有126个没有猜测次数的限制。

    产生这种状况的原因尚不明了。对于有些网站来说,因为没有什么特别有价值的东西如信用卡信息需要保护,密码安全可能不是一个十分重要的问题。但是对密码安全的宽松态度会给那些安全性能好的网站也带来问题,因为人们通常在若干不同的网站使用同样的密码。

    有一种观点认为,在密码安全上的宽松态度是互联网幼年时期留下的文化遗产,因为那时的学术研究网络不需要忧虑黑客入侵。还有的认为,很多网站创立之初资金短缺,在电脑安全上采取额外措施会花费大量的程序编制时间。所以它们在开始时省略了这个步骤,以后也再也没有费神去补救。不管是什么原因,这种情况使一些人不愿再等待网站采取措施,而是思考替代传统密码的一些办法。

    天帆•平仄•廉价•泥人(Skysail dactyl gimcrack golem)

    其中一种替代方法是使用多词密码,称之为“联词口令"。在密码中使用几个词而不只是一个词,使黑客必须猜测更多的字母,这就提高了密码的安全度。但前提是,选取的联词不会被熟练使用某种联词字典的人所破解,而这种可能性总是存在的。

    邦努先生和他的同事埃克特丽娜•舒托瓦曾经分析了网购商亚马逊所使用的联词口令系统,亚马逊在2009年10月到2012年2月容许它的美国用户使用这个系统。他们发现,虽然联词口令比密码的安全度确实高些,但并不像预期的那样理想。由四五个随机选取的词组成的口令(像上面小标题那样的联词)确实相当安全,但是要记住它比记住几个随机选取的密码还难。这又一次说明,人们对容易记忆的需要总是使黑客有机可乘。通过搜寻互联网上的词语如电影名字、体育用语和俗语等,邦努先生和舒托瓦编篡了一个包括20656个词的字典,借助这个字典,亚马逊数据库中1.13%的用户口令可以被破解。

    研究者们还推测,即便那些不使用著名词语的人,仍然会倾向于使用在日常语言中常见的搭配模式,因而不是完全随机的。他们从“英国全国语料库”(牛津大学出版社编篡的包括一亿单词的语库)和谷歌的“N元组”语料库(NGram Corpus,从谷歌的网站浏览者用语中收集)随机抽取二联词,与亚马逊样本的联词口令进行了对比。果不其然,大众英语中常见的单词搭配方式与亚马逊用户选取的联词方式有很多重合之处。在研究者测试的形容词-名词组合(如“漂亮女人”)中,约13%是重合的;副词-动词组合(如“大概保持”)的重合率也有5%。

    解决这个问题的办法之一是,综合密码和连词口令的各自优点,创造一种“易记密码”。它看起来像是一串毫无意义的字母或符号,但实际上并不难记忆。如,抽取一个句子中每个字的首位字母,区分大小写,并用一些符号替换字母(如用1替换y),我们可以得到这样一个易记密码:wXhf1(我喜欢翻译)。不过,易记密码也并不是无懈可击的,2006年发表的一项研究说,借助一本根据歌词、电影名字等编篡的字典,一个易记密码样本中4%的密码被破解。

    这个问题可能永远没有正确答案。任何安全措施都是烦人的(经常坐飞机的人都知道),人们希望安全,但又希望什么事都简单易行,这两者总是冲突。只要这个冲突存在,黑客总是有机可乘。


    重要聲明:本論壇是以即時上載留言的方式運作,比思論壇對所有留言的真實性、完整性及立場等,不負任何法律責任。而一切留言之言論只代表留言者個人意見,並非本網站之立場,讀者及用戶不應信賴內容,並應自行判斷內容之真實性。於有關情形下,讀者及用戶應尋求專業意見(如涉及醫療、法律或投資等問題)。 由於本論壇受到「即時上載留言」運作方式所規限,故不能完全監察所有留言,若讀者及用戶發現有留言出現問題,請聯絡我們比思論壇有權刪除任何留言及拒絕任何人士上載留言 (刪除前或不會作事先警告及通知 ),同時亦有不刪除留言的權利,如有任何爭議,管理員擁有最終的詮釋權。用戶切勿撰寫粗言穢語、誹謗、渲染色情暴力或人身攻擊的言論,敬請自律。本網站保留一切法律權利。

    手機版| 廣告聯繫

    GMT+8, 2024-11-15 03:46 , Processed in 0.022445 second(s), 31 queries , Gzip On.

    Powered by Discuz! X2.5

    © 2001-2012 Comsenz Inc.

    回頂部