Geek
注册账号时,密码短点好还是长点好?
[-]
最近,继承着艾伦·图灵衣钵的英国国家通讯总局工作人员表示:“之前网络上说的‘长密码才有用’都是口胡!”而他们算是密码破解算法领域中的佼佼者了。
在爱德华·斯诺登揭露国家通讯总局与美国国家安全局(National Security Agency)的棱镜丑闻(大量收集个人用户资料)之后,很多怀疑论者会倾向于相信更复杂的密码。不过我们也不用太紧张,毕竟密码还是有点作用的。
就现在而言,通常网站都会建议我们使用长度更长/强度更高的密码并经常更换;而“强密码”中往往不仅仅含有常用字符(数字字母等容易被猜测到的密码),更包括了一些特殊符号,比如£,$,*等等。
然而现在他们又有了新的观点:请不要尝试在脑子中记住太多复杂的密码。由此可能产生的问题是,由于密码过于复杂,难以记忆,我们会一遍又一遍地忘记密码、更换密码、忘记密码、更换密码……由此形成一个恶性循环。而这反而会导致安全强度的降低。
密码该长该短?
因此,上周,在位于英国伦敦的英国国家网络安全中心(以保障公共资料安全为责任的机构),其CEO 锡兰·马丁(Ciaran Matrin)揭露了一些有趣的研究资料, 它们都与我们的传统认知有所背离。
在实验中,他们询问了英国所有的公民,让他们每个月尝试去记住长达600位的数字密码。他们表示:“其中,即使是记忆力最好的人都没办法牢记——因此我们也不该建议别人去用长密码。”
那么我们该用怎样的密码呢?现在,英国国家网络安全中心建议人们使用一些第三方软件,比如密码管理器。在这种软件上,我们只需要记住一条强密码来登录,在这些软件上记下自己的密码,之后它便会自动在网站上黏贴所需的密码。
网页上可黏贴密码的安全性还有待商榷。出于用户考虑,一些网站会默认禁止黏贴密码。这已经是常识了。如果网站屏蔽了黏贴密码,那么密码管理器也无法自动黏贴了,英国国家安全网络中心希望这种‘弊端’可以早日被取缔。
备忘录的可取性?
而随着这种手段的诞生,一些人开始担心黏贴密码会为黑客带来便利。对此,密码管理器的开发者们正在研究更加智能的密码管理政策。
国家网络安全中心和国家通讯总局态度的改变,证实了美国网络安全公司的市场调查结果。也就是说,的确存在这样的密码问题:目前网络上正存在至少900亿个密码,而以后,我们的冰箱、光照、加热系统等可能都需要密码,估计至2020年,全球将共有3000亿个密码。
不过,科技也在不断进步。从生物计量学的角度看来,日后面部识别技术将可以将一大部分密码打入冷宫——也就是说,像密码管理器这种备忘录形式的软件,在将来很可能没有什么价值。
不过,备忘录这种东西似乎永远不会过时。比如当年纳粹进攻时,有人把两块银锭埋在了布莱切利附近的乡村。当战争结束时,他早已忘了财宝藏在何处,而且永远都找不到了。要是有本备忘录的话,情况会不会好一点呢?
本文译自 newscientist,由 沸石 编辑发布。