间隔重复方法能让你记住复杂的密码

如果密码是数据安全产业最薄弱的地方，那有一部分原因在于人类所挑选的密码：据统计，每20个密码里面，就有一个是经典的弱密码“password”。

但微软公司和普林斯顿大学的两名研究人员的一项研究表明，这些饱受诟病的密码字符串还是有希望让人按规律记住的。随意生成的一段长的、几乎无法破解的密码，能很轻易地烙在你的脑海。

[-]

在隐私和安保研讨会上，Stuart Schechter和Joseph Bonneau将揭示由他们所设计的、教会人们记住随机长密码的实验。参与实验者平均每人用了12分钟使用他们所设计的步骤，有十分之九的人能够记住一个有56字节的密码——这么长的密码一个黑客要尝试1000的5次方那么多次才能破解。

普林斯顿大学信息技术政策中心的资深会员Bonneau说：“我们的目标是为了说明人类记忆有很大的空间，而该记忆空间还未用密码开发过。刚开始的时候这些密码看起来很难记。但只要给了你正确的训练和提示，你几乎可以记住任何事情。”

Schechter和Bonneau从亚马逊土耳其机器人众包平台上征集了上百名实验者，并付钱让他们做一系列虚假的注意力测试。他们真正要研究的是用户进这些测验的时候是如何登陆的。每次出现登陆页面，用户会被提示输入一系列单词或者字母。随着时间增加，字符串的字符出现的时间越来越长，意在鼓励用户通过记忆来输入。而随着时间的增加，密码要输入的字母和单词也在增加：经过10天的测试，用户被要求输入一系列随机的12个字母或者6个随机的单词——比如，输入“rlhczwpsnffp”或者“hem trial one by sky group”来进入测试。

事实上，这些用户在不知不觉中记住的密码比研究人员料想的要强多了。他们重复教学的过程使用了一种名为“间隔重复”的技巧，那些学外语的人对定期测试、复习以及新信息的添加应该不陌生。该步骤结束的时候，百分之94的用户能够根据记忆输入他们的密码。尽管实验者要登陆90次才能完成这个测试，但当他们尝试的次数达到了中位数36以后，不需要任何提示就能输入他们的密码。实验结束3天以后，百分之88的人仍然能够回忆其密码，其中只有百分之21的人说他们已经把密码写下来了。一名实验者告诉研究人员说“密码已经铭刻在我的脑海里了。”

Schechter和Bonneau承认，强迫用户记住一段随机生成的强密保密码系统其实对任何服务都不实用。没有人想要在使用每个网站的时候，还要记住一段不同的随机字符。但他们建议说这个系统可以用在企业的登陆上，再用一个密码管理器或者一个加密钥匙——这是一个单独的、高密保应用程序，这个程序要求用户定期输入字符以防忘记。比如，在公司网络，在上班的前几天，新用户能够自己选择他们的密码，而当新用户有了一段随机的、更强的密码，之前选的密码就没用了。他们在研究中写道：“用户其实没办法记住一个高强度密码，我们建议用间隔重复来训练用户记住高强度密码，这应该是每一个安全工程师的工具箱里面都有的功能。”

该课程并不限于安全管理员。在有了PasswordsGenerator.net 或者 Random.org或者 Diceware的网站服务以后，用户也可以自行用同一类型的随机密码。Bonneau说他在生成自己的随机密码以后，将它们写下来，并且把它们放在钱包里面。他说：“当一周以后我没有拿出钱包就想输入密码的时候，那真是有够痛苦的。但最终令人惊讶的是，记住密码所用的时间相当快。人类的记忆会让你大吃一惊的。”

本文译自 WIRED，由 肌肉桃 编辑发布。