也许你知道的关于密码的常识都是错的 复杂密码或频繁更换都不一定安全
很多人在休假之后工作的时候总是会忘记自己工作所需要的密码,这时候他们只能去翻找浏览器中输入的密码记录或者自己的密码本,但是一些需要高保密的工作项目可能就只能采用恢复密码这一种方式来找回密码继续工作了。但是外国专家表示,这还只是关于密码相关问题的冰山一角。
Fido Alliance 是一个专注于帮助世界降低对于密码的依赖度的一个组织,他们认为对于人类来讲,记住一个复杂的字符串的确很困难。
Fido Alliance 执行董事 Andrew Shikiar 说,人类要想记住多个复杂的密码的确是个“巨难的挑战”,而且这个“挑战”会促使人们回归到使用最容易记住或者重复使用同一个密码的习惯,而这会加剧密码被盗取的风险。
用户体验设计研究和咨询公司 Nielsen Norman 集团的董事 Raluca Budiu 对此观点表示同意,她从用户体验的角度表示:“密码最大的问题在于人们必须记住它。”她还指出,如今的网站对于密码都有“不同的”、“相比以前更复杂”的要求(比如有的网站需要你必须有大写字母、特殊符号、数字,或者是其他的一些字符数量要求),要想想出一个有意义又容易记住的密码越来越难了。
即便对于那些能记住自己设定的超级难的密码的大佬用户,他们依旧会遇到账户被盗的问题。
Fido Alliance 执行董事 Andrew Shikiar 表示,密码是每一个人都可以阅读的共享秘密,而最要命的是密码通常都存储在中央服务器上,所以黑客很容易盗取它们,而且盗窃的方式可谓是五花八门。
Synopsys Software Integrity Group 的高级安全策略师 Jonathan Knudsen 说:“人们都高估了网站保护密码的能力,这就是我们为什么应当对每个网站都使用不同的密码。如果你在每个网站都使用相同的密码,那么仅仅有一个不安全的网站泄露了你的密码,那你可就要面临灭顶之灾咯。”
知名密码存储软件 LastPass 在第三次年度全球密码安全报告中提到,经过对47,000多个组织的数据分析,平均每个员工都会重复使用一个密码13次。
专家表示,用户可以使用智能手机、USB 密钥和生物识别器(比如指纹、语音验证)登录网站。在我们国家,我们早就已经开始将二维码和人脸识别运用到支付领域中。
当然,在我们将生物识别取代密码之前,我们需要先了解一下当下关于密码安全问题的几个真相:
Synopsys Software Integrity Group 的 Knudsen 表示:“任何安全功能都可能被破坏。”比如黑客可以通过 SIM 卡劫持来接管一个手机号收到的短信,这样他们就可以将一次性验证码发送到自己的手机上,而非原本的持有人。
Andrew Shikiar 说:“任何密码都比最懒的密码要好(比如123456),但是最终所有密码都可能会被盗取。”此外,也有人想到用数字或者符号替代单词中的某些字母,比如将“secret”打成“s3cr3t”,但是黑客依旧可以轻而易举的猜到这样的密码。
许多人可能会隔三个月就收到一封要求更换密码来确保账号安全的邮件,但是 Andrew Shikiar 表示:“事实证明,强迫用户频繁更改密码或者混合输入由字母和数字组成的密码会让用户很难记住这些密码,因此会让用户造出更容易忘掉的密码,这些密码自然更容易被黑客窃取。”