@ 2014.07.15 , 10:52
26

间隔重复方法能让你记住复杂的密码

如果密码是数据安全产业最薄弱的地方,那有一部分原因在于人类所挑选的密码:据统计,每20个密码里面,就有一个是经典的弱密码“password”。

但微软公司和普林斯顿大学的两名研究人员的一项研究表明,这些饱受诟病的密码字符串还是有希望让人按规律记住的。随意生成的一段长的、几乎无法破解的密码,能很轻易地烙在你的脑海。

[-]

在隐私和安保研讨会上,Stuart Schechter和Joseph Bonneau将揭示由他们所设计的、教会人们记住随机长密码的实验。参与实验者平均每人用了12分钟使用他们所设计的步骤,有十分之九的人能够记住一个有56字节的密码——这么长的密码一个黑客要尝试1000的5次方那么多次才能破解。

普林斯顿大学信息技术政策中心的资深会员Bonneau说:“我们的目标是为了说明人类记忆有很大的空间,而该记忆空间还未用密码开发过。刚开始的时候这些密码看起来很难记。但只要给了你正确的训练和提示,你几乎可以记住任何事情。”

Schechter和Bonneau从亚马逊土耳其机器人众包平台上征集了上百名实验者,并付钱让他们做一系列虚假的注意力测试。他们真正要研究的是用户进这些测验的时候是如何登陆的。每次出现登陆页面,用户会被提示输入一系列单词或者字母。随着时间增加,字符串的字符出现的时间越来越长,意在鼓励用户通过记忆来输入。而随着时间的增加,密码要输入的字母和单词也在增加:经过10天的测试,用户被要求输入一系列随机的12个字母或者6个随机的单词——比如,输入“rlhczwpsnffp”或者“hem trial one by sky group”来进入测试。

事实上,这些用户在不知不觉中记住的密码比研究人员料想的要强多了。他们重复教学的过程使用了一种名为“间隔重复”的技巧,那些学外语的人对定期测试、复习以及新信息的添加应该不陌生。该步骤结束的时候,百分之94的用户能够根据记忆输入他们的密码。尽管实验者要登陆90次才能完成这个测试,但当他们尝试的次数达到了中位数36以后,不需要任何提示就能输入他们的密码。实验结束3天以后,百分之88的人仍然能够回忆其密码,其中只有百分之21的人说他们已经把密码写下来了。一名实验者告诉研究人员说“密码已经铭刻在我的脑海里了。”

Schechter和Bonneau承认,强迫用户记住一段随机生成的强密保密码系统其实对任何服务都不实用。没有人想要在使用每个网站的时候,还要记住一段不同的随机字符。但他们建议说这个系统可以用在企业的登陆上,再用一个密码管理器或者一个加密钥匙——这是一个单独的、高密保应用程序,这个程序要求用户定期输入字符以防忘记。比如,在公司网络,在上班的前几天,新用户能够自己选择他们的密码,而当新用户有了一段随机的、更强的密码,之前选的密码就没用了。他们在研究中写道:“用户其实没办法记住一个高强度密码,我们建议用间隔重复来训练用户记住高强度密码,这应该是每一个安全工程师的工具箱里面都有的功能。”

该课程并不限于安全管理员。在有了PasswordsGenerator.net 或者 Random.org或者 Diceware的网站服务以后,用户也可以自行用同一类型的随机密码。Bonneau说他在生成自己的随机密码以后,将它们写下来,并且把它们放在钱包里面。他说:“当一周以后我没有拿出钱包就想输入密码的时候,那真是有够痛苦的。但最终令人惊讶的是,记住密码所用的时间相当快。人类的记忆会让你大吃一惊的。”

本文译自 WIRED,由译者 肌肉桃 基于创作共用协议(BY-NC)发布。


给这篇稿打赏,让译者更有动力
支付宝打赏 [x]
您的大名: 打赏金额:

0.0
赞一个 (0)

TOTAL COMMENTS: 26+1

  1. 泉喵
    @3 years ago
    2476523

    – =我上周换了密码到这周每天登陆的时候都还会输错输错成挫的。我听了这么多安全研究的话把我的好多账号全部用不一样的密码- -结果呢哼。。。。。。总是在找回

    [74] XX [2] 回复 [0]
  2. 弹药专家
    @3 years ago
    2476529

    用你教吗

  3. 沉默的勇者
    @3 years ago
    2476531

    事实上,我所有的网站密码都一样

    [23] XX [4] 回复 [0]
  4. 小风
    @3 years ago
    2476532

    @沉默的勇者: 你这样很不安全,一旦别人知道密码,你所有账号都完蛋

  5. Spearritt
    @3 years ago
    2476535

    最常用但用处不大的一个密码
    用处比较大的两个密码

  6. 2476540

    @小风: 基本上设置两种就可以了 6位和8位的

    当一个人拿到你的密码 但是上很多网站 50%是错的 他也不会尝试了

  7. 嗚哇~
    @3 years ago
    2476547

    I changed my password to “brazildefense” but says too weak

    [63] XX [0] 回复 [0]
  8. 2476548

    最安全密码就是各种字符,英文加数字的随机组合,而且必须要超过24位数,不同账号要用不同的密码,如果你怕忘记的话可以把这些密码写在一张纸上,再把它放入有虹膜扫描和指纹扫描加密码组合的保险箱当中。当然非常重要的密码还要有其他加密的方式。但一般人用的重要的密码这样做就可以了。

  9. 猫开车
    @3 years ago
    2476549

    其实为什么要记住复杂的密码,而不是动态生成复杂的密码呢,只要记住简单密码,然后通过一套简单的“加密”算法,就能变成复杂密码,就像派很难记住,但大家都知道派是什么;比如说简单键盘替换法:1斜对应qaz,2斜对应wsx;记住jiandan,最后得出ji1@d!n;然后在某些无关紧要的论坛上用简单密码,比如xx论坛,用ooxx1024就好了,就算丢失了也不让别人了解其他重要网站的密码相关;

    [22] XX [0] 回复 [0]
  10. gochannel
    @3 years ago
    2476552

    @沉默的勇者 你的密码是114开头

  11. 2476559

    @嗚哇~: I tried changing my password to “penis” … They said it was too short …

    [43] XX [0] 回复 [0]
  12. 卡卡罗特
    @3 years ago
    2476588

    @KIM: 我会把你的保险柜焊死

  13. Gibson
    @3 years ago
    2476596

    我们电脑老师说 不同的账号拥有相同的或类似的ID以及密码 非常容易被黑掉 他告诉我们复杂的密码可以用其他方式来记住 这是他拿出了一支笔然后写了下来说这事最原始的啦
    然后说可以用键盘的位置进行排编 记住键盘也记住了密码 接着我觉得高潮来了 他把我们班的键盘手叫了出来 叫他按一段曲子()的弹奏方式敲敲键盘 好长一段密码 后来解锁的时候他居然可以不用想密码顺序 直接敲了出来

  14. 猪头变态
    @3 years ago
    2476608

    以后密码可以设置为中文就省事又安全啦

  15. 贱贱康康
    @3 years ago
    2476617

    一直不懂为什么我密码输错几次就得锁掉了。人家猜1000的5次方都可以。。

  16. 季默
    @3 years ago
    2476619

    网银、支付宝、邮箱、QQ都有单独的复杂密码,至于其他地方都使用同一个弱得不能再弱的6位数字和6位ID

  17. 2476650

    @Gibson: 所以你们所接受的电脑教育是渣渣啊。。这样教出来的学生根本就无法担当安全工程师的重任

  18. 2476666

    @Gibson: security的教育根本就不能够从防御的角度开始教起,如果他要说明多串id相同的话会容易被黑的话,正确的教法是给出算式,然后模拟攻击,怎么做human factor exploit,通过弱安保的系统偷同样的密码去重复强安保的系统。security 就应该完全教攻击和实战,防御不是教出来的而是每个人通过攻击假想生成的方案。这一点怎么强调都不为过,你让一个键盘手打一串随机数,你觉得啊穷举很麻烦啊,但因为你根本就不从攻击的角度去想而假设了不可能,所以你不会去想到通过学习那个人的行为预测他可能的密码的有限穷举等等方法。

  19. 久吧肆妖
    @3 years ago
    2476736

    我一般是以当前登陆的网址+数字。这样既不重复也不会记错。就怕哪天我自己都记不住密码规则的时候……

  20. 2476757

    密码:某喜爱品牌大小写交替英文+8位意义数字+特殊符号1、2位
    每次爆库的时候改任意一个部分就OK,怎么都记得住ww

  21. 奇一
    @3 years ago
    2476794

    如果汉字能作为密码就一切无忧了

  22. 我叫达芬奇
    @3 years ago
    2476959

    一个安全密码的例子: 煎蛋域名jandan 加上一个特殊字符@ 加上一个数字7788 ,就变成 jandan@7788 ,然后第一个字符按照键盘布局向右移动,就是 kandan@7788 ,如果第一个字符是plm这三个键盘最右三个字符,那就对应qaz, 如果域名不足6位则补齐,比如sina密码就可以是dinasi@7788。 换密码只需要更换后面数字即可。

  23. 某马甲
    @3 years ago
    2477108

    @我叫达芬奇: 换了之后把新数字忘了…

  24. 夏天的风
    @3 years ago
    2477112

    @KIM: 我也想啊,可是现在的网站基本不允许超过16位,甚至有些12位,甚至还有些不允许符号

  25. 2477249

    @夏天的风: 你那什么网站。。

  26. 2481167

    @我叫达芬奇: 赞成。
    固定字符 + 域名 + 数字 是一种不错的能照顾到记忆与安全方法,对一些重要的密码,可以再加上重要性的固定字符、或更换次序、或专门生成单独的密码。

发表评论


24H最赞