所以您认为您的Internet密码安全吗?
Paul Haskell-Dowland
, 作者提供

密码已被使用了数千年,作为一种向他人和最近的计算机进行身份识别的方法。 这是一个简单的概念–一条共享的信息,在个人之间保密,并用来“证明”身份。

IT环境中的密码 出现在1960年代主机 计算机–大型中央操作计算机,带有用于用户访问的远程“终端”。 现在,它们已用于从ATM上输入的PIN到登录我们的计算机和各种网站的所有内容。

但是,为什么我们需要向访问的系统“证明”我们的身份? 为什么密码很难正确输入?

是什么使一个好的密码?

直到最近为止,一个好的密码可能只是一个少于XNUMX到XNUMX个字符的单词或短语。 但是我们现在有了最小长度准则。 这是因为“熵”。

当谈论密码时,熵就是 衡量可预测性。 此操作背后的数学并不复杂,但让我们以更简单的方法进行检查:可能的密码数量,有时也称为“密码空间”。


内在自我订阅图形


如果一个字符的密码仅包含一个小写字母,则只有26种可能的密码(“ a”至“ z”)。 通过包含大写字母,我们将密码空间增加到52个潜在密码。

随着长度的增加和其他字符类型的增加,密码空间将继续扩大。

设置更长或更复杂的密码会大大增加潜在的“密码空间”。 更大的密码空间意味着更安全的密码。

设置更长或更复杂的密码会大大增加潜在的“密码空间”。 (所以您认为您的互联网密码是安全的)

从以上数字可以很容易地理解为什么我们鼓励使用长密码,并使用大小写字母,数字和符号。 密码越复杂,就需要进行更多的猜测。

但是,取决于密码复杂性的问题在于,计算机在重复执行任务(包括猜测密码)方面非常高效。

去年,一个 记录已设定 尝试生成所有可能的密码的计算机。 它的速度超过了每秒100,000,000,000亿次猜测。

通过利用这种计算能力,网络罪犯可以通过以下过程来攻击系统:使用尽可能多的密码组合对它们进行轰炸 蛮力攻击.

借助基于云的技术,只需12分钟即可猜到25个字符的密码,而费用却只有XNUMX美元。

另外,由于密码几乎总是用于提供对敏感数据或重要系统的访问权限,因此这会激发网络犯罪分子主动寻找它们。 它还推动了利润丰厚的在线市场销售密码,其中一些密码包含电子邮件地址和/或用户名。

您只需600澳元就可以在线购买近14亿个密码!

密码如何存储在网站上?

网站密码通常使用称为的数学算法以受保护的方式存储 散列。 哈希密码无法识别,无法将其转换回密码(不可逆过程)。

尝试登录时,将使用相同的过程对输入的密码进行哈希处理,并将其与站点上存储的版本进行比较。 每次登录时都会重复此过程。

例如,使用SHA0哈希算法计算时,密码“ Pa $$ w02726rd”的值将为“ 40d378f716981e4321c60d3ba325a6ed4a1c”。 试试吧 你自己.

当面对充满散列密码的文件时,可以使用蛮力攻击,尝试各种字符组合以获取一定范围的密码长度。 这已经成为一种常见的做法,以至于有些网站列出了常见密码以及其(计算出的)哈希值。 您可以简单地搜索哈希以显示相应的密码。

密码清单的盗窃和销售现在非常普遍, 专门网站 - haveibeenpwned.com —可用于帮助用户检查其帐户是否“疯狂”。 如今已经包括超过10亿个帐户详细信息。

如果此站点上列出了您的电子邮件地址,则绝对应更改检测到的密码以及使用相同凭据的任何其他站点上的密码。

解决方案是否更复杂?

您会认为,每天发生如此多的密码泄露事件,我们会改善密码选择的做法。 不幸的是,去年的年度 SplashData密码调查 五年来几乎没有变化。

2019年SplashData年度密码调查显示了2015年至2019年最常见的密码。2019年SplashData年度密码调查显示了2015年至2019年最常见的密码。

随着计算能力的提高,该解决方案似乎会增加复杂性。 但是,作为人类,我们不熟练(也不愿意)记住高度复杂的密码。

我们还通过了仅使用两个或三个需要密码的系统的观点。 现在,访问多个站点很普遍,每个站点都需要密码(通常长度和复杂性各不相同)。 最近的一项调查表明,平均而言, 每人70-80个密码.

好消息是有解决这些问题的工具。 现在,大多数计算机都支持在操作系统或Web浏览器中存储密码,通常可以选择在多个设备之间共享存储的信息。

例子包括苹果的 icloud的钥匙扣 并且可以在Internet Explorer,Chrome和Firefox中保存密码(尽管 不太可靠).

密码管理员 例如KeePassXC可以帮助用户生成长而复杂的密码,并将其存储在安全的位置,以备不时之需。

尽管仍然需要保护此位置(通常使用长的“主密码”),但是使用密码管理器可以为您访问的每个网站提供唯一,复杂的密码。

这不会阻止从易受攻击的网站窃取密码。 但是,如果它被盗了,您将不必担心在所有其他站点上更改相同的密码。

这些解决方案中当然也存在漏洞,但这也许是另一回事了。

作者简介

Paul Haskell-Dowland,副院长(计算和安全), 埃迪斯科文大学 和道德黑客与防御讲师Brianna O'Shea, 埃迪斯科文大学

本文重新发表 谈话 根据知识共享许可。 阅读 原创文章.