当前位置:主页 > 趋势时代 >保安专家︰经常转换密码 可能适得其反 >
保安专家︰经常转换密码 可能适得其反
上传时间:2020-06-18点击:709次

现在一人多个电脑帐户并非新鲜事,为安全起见自然也有多个密码(安全警示︰如果你所有帐户都使用同一密码,请先停止阅读,立即去多改几个密码)。而在工作场所或学校,也许会有其他帐户,例如电邮、电脑登入户口等。

有些地方的IT主管或会订下规则,要求所有用户定期更改密码,以确保帐户安全。理论上这项政策可以减少黑客以逐一尝试方式猜中密码的机会,然而美国联邦贸易委员会(Federal Trade Commission, FTC)的首席技术专家克兰娜(Lorrie Cranor)近日撰文指出,强制用户定期更改密码并不如想像中安全,甚至可能带来反效果。

克兰娜是卡内基美隆大学(Carnegie-Mellon University, CMU)教授,亦是该校可用私隐及安全实验室(Usable Privacy and Security Laboratory)总监,其中一个研究範畴是如何在确保电脑系统安全之余方便用家。

密码的两难︰安全vs.易记

相信大部份人都知道,选一个安全的密码很重要,而安全的密码通常有几个要求︰长、混合数字、大小写字母及符号、不含常见用词等。一言以蔽之,就是「别人难以猜到及电脑难以破解」。

问题在于,符合这些安全要求的密码,往往就是一堆乱以记住的乱码,而如果有几个重要帐户——例如银行、私人电邮、工作电邮、Facebook——就需要记住更多乱码。尤有甚者,假如你使用的系统设定要求定期更改密码,那幺你就要(比方说)每三个月重新牢记一堆乱码。

在这个情况下,很多用户就会倾向採用更易记——往往更不安全——的密码,以致本来为确保安全的措施,反过来削弱系统安全。

►安全的密码很难记?不妨写首小诗

克兰娜提到,10年前有专家撰文指「定期更换密码」的传统智慧已经过时,然而要到近几年学界才有更多证据显示,这项措施不如想像中有效。

破解密码的研究

例如一项2010年来自北卡罗来纳大学教堂山分校的研究,分析了该校超过1万个已经停用的旧帐户,来研究这些帐户的密码安全度。每个帐户均曾使用4至15个密码,研究人员取得这些密码的hash。

在此先简单介绍一下「hash」这东西︰安全的电脑系统不会直接储存密码,而是以hash函数把密码(例如12345)转换成一个杂乱的字串,这个字串简称hash。当用户输入密码时,系统可以对比两个hash是否一样,来决定密码是否正确。

保安专家︰经常转换密码 可能适得其反 Hash的解说图。Image Credit: Pluke, CC0

Hash巧妙之处在于,假如黑客只知道密码的hash而不知密码本身,便难以逆向推算密码。黑客得到密码的hash后,往往是透过其他方法猜密码,再对比hash来确认是否猜中。也就是说,虽然得到hash不等如知道密码,不过黑客可以在自己的电脑中不断猜测,从而破解密码。

稍作改动便得到新密码

研究人员使用两部配备两颗四核2.67GHz处理器及72GB记忆体的电脑来破解密码,到写论文时他们已经破解到近8千个帐户的超过3万个密码。在接下来的分析中,他们排除了只破解到最后一个密码的帐户,而研究当中7752个帐户。

研究人员估计,用户会把旧密码以更换大小写、删减、替代、调换次序等手段来设定新密码。因此他们以同样方式,来猜测帐户最后一个密码(可视为正在使用的密码)。

结果发现,这7千多个帐户中,有41%的帐户密码可以在数秒内破解。当然,这速度可能是因为他们有强大的电脑来运算,但论文亦指出有17%——约六分之一——的密码,只需要猜5次以内便能破解。

这项研究显示,帐户经常转换密码的话,也许只是把原有密码稍作更改,不见得会更加安全。假如黑客已获得旧密码,猜中其新密码的机会亦会增加。

规定使用家不愿改好密码

另外,强制用户定期更改密码的规定,同样会影响用户的密码选择。克兰娜引述一项调查研究指出,假如用家事先知道将要更换密码,便会倾向使用较弱的密码,或把密码写下来,而这两个做法都会削弱系统安全。

她有份参与的调查亦发现,在卡内基美隆大学的学生、教师或职员当中,对密码政策感到烦厌者会採用较弱的密码。克兰娜对此表示理解︰在急需完成工作时,系统仍弹出讯息要求更改密码的话,她也不会花太多心力去想一个强密码。

克兰娜认为,虽然未有严格的对照实验来证明强迫更改密码会影响用家决定,但上述研究已显示这类政策可能适得其反。

机构应改变规定

2009年美国国家标準技术研究所(The National Institute of Standards and Technology, NIST)一份针对企业密码管理的建议书指出,强制定期更换密码的政制有助减低洩露密码的部份影响,但对其他情况下并非有效措施,更「经常是用家沮丧的源头」。

克兰娜强调,在某些特定情况下,更换密码是必须的。而机构资讯系统安全的负责人,在制定密码政策时则应该全面考虑其风险及好处,以及尝试寻找其他替代方案。

总括而言,目前的研究显示,频繁要求用户改变密码,不会带来太多保安上的好处,却会令用家烦厌,甚至使用更不安全的密码。而对于大部份机构来说,鼓励用户花时间改一个安全的密码来长期使用,配合其他保安措施更加有效。

至于如何改一个好密码?可以参考克兰娜的演讲︰

Lorrie Cranor: Time to rethink mandatory password changes Security Myths and Passwords (CERIAS Blog) The Security of Modern Password Expiration:An Algorithmic Framework and Empirical Analysis (Yingian Zhang et al. 2010) Forcing People to Change Their Passwords Isn’t Just Annoying. It’s Counterproductive. (Slate) Why changing your password regularly may do more harm than good (The Washington Post) Lorrie Faith Cranor: What’s wrong with your pa$$w0rd? (TED)
上一篇: 下一篇:

猜你喜欢