读书频道 > 网站 > 网页设计 > 信息安全工程(第2版)
2.4.3 幼稚的密码选取
12-07-29    叶孤城
收藏    我要投稿   

本文所属图书 > 信息安全工程(第2版)

本书第1版于2001年问世后,受到了全球广大读者的热烈欢迎。今天的安全领域已经发生了巨大变化:垃圾邮件发送者、病毒编写者、网络钓鱼者、洗钱者以及间谍们的作案水平不断提升,搜索引擎、社交网络乃至电子投票机...立即去当当网订购
最迟从上个世纪80年代中期开始,人们就已经开始研究用户会为自己的设备选择哪些类型的密码,结果令人沮丧,很多用户使用配偶的名字、单个字母或干脆按一下回车键(生成一个空字符串)作为自己的密码。因此,一些系统开始限定最小密码长度,甚至对照一个弱密码列表检测用户选择的密码是否合格。然而,密码质量增强比想象的要难。Fred Grampp与Robert Morris关于Unix安全的经典文章[550]指出,在出现了强制密码至少为6位长并且至少包含一个非字母字符的软件之后,他们制作了一个文件,其中包含了20个最常见的女性名字,每个名字后面跟随一个数字,在由此构造得到的200个密码中,他们检测的每数十台计算机中就至少使用了其中一个口令。
 
Daniel Klein开展过一次广为人知的研究,他收集了以加密密码文件形式存在的25 000个Unix密码,并运行破解软件对其进行猜解[720],结果发现,依赖于投入的努力,可以猜解出21%~25%的密码,其中,字典中的词汇占7.4%,常见名字占4%,用户与账号名组合占2.7%,在不太常见的密码中,来自科幻小说的词汇占0.4%,运动术语占0.2%。其中一些是直接的字典搜索,另一些则使用了模式。比如,对属于用户Daniel V. Klein的账号klone,用于构造用户名与账号名组合模式的算法会尝试如下密码:klone、klone1、klone 123、dvk、dvkdvk、leinad、neilk、DvkkvD等。
 
很多公司要求用户定期更改密码,但这种做法往往适得其反。根据一份报告,在用户被强迫更改密码并防止使用前面少数几个密码时,他们会快速更改密码,以便耗尽记录列表,并重新使用偏好的密码。如果直到15天后才允许更改密码,则意味着用户无法更改已被攻破的密码,除非有管理员帮助[1008]。英国一个大型卫生健康组织正在放弃每月更改密码的策略,可以预见的结果是月末会有大量的密码需要重置(为应对这种情况,管理员将密码重置为一个大家都知道的值)。根据我自己的经验,如果要求密码必须由数字和字母混合组成,并且每个月变更一次,就会使得人们在3月份使用"julia03"作为密码,4月份使用"julia04",依此类推。
 
有鉴于此,每当我所在大学的审计员每年在年度报告中强调应该制定每月变更一次密码的策略时,我的反应是请求审计委员会主席更换一批新的审计员。
 
即便在普通民众之间,也有证据表明,很多人选择的密码都比过去要稍好一些。典型情况下,钓鱼站点取回的密码中同时包含字母与数字,平均长度从6个字符变为8个字符,最常见的密码也从"password"变为"password1"[1130]。对于这些变化,可能的解释是,很多人尝试在不同地方使用相同密码,并且,一些网站上密码检测程序的部署使得人们选择更长的、由字母和数字组成的密码[302]。
点击复制链接 与好友分享!回本站首页
分享到: 更多
您对本文章有什么意见或着疑问吗?请到论坛讨论您的关注和建议是我们前行的参考和动力  
上一篇:1.3 功能
下一篇:1.5 小结
相关文章
图文推荐
JavaScript网页动画设
1.9 响应式
1.8 登陆页式
1.7 主题式
排行
热门
文章
下载
读书

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训
版权所有: 红黑联盟--致力于做最好的IT技术学习网站