专栏首页本体研究院世界密码日 | 警惕!你的密码是“弱密码”吗?

世界密码日 | 警惕!你的密码是“弱密码”吗?

题记

七年前的五月,Intel Security 受到安全研究人员启发,为了提升大众对口令安全的认识,把五月的第一个星期四作设定为“World Password Day”。今天,我们就与大家聊一聊“口令”。

图 | 网络

01丨身份认证

口令是身份认证的一种方式。无论在互联网世界或是在区块链系统中,身份认证是保障系统安全的重要手段之一。身份认证是识别和确认数据或者实体真实性的一种行为。按照认证因素来看,一般常用的有以下三类:

- 基于知识(knowledge)的认证:即用户所知道的。口令以及 PIN 码和安全问题等都属于这一类;

- 基于所有权(ownership)的认证:即用户所拥有的。身份证件、不同类型的各种令牌、数字证书都是属于此类的认证方式;

- 基于生物学特征(inherence)的认证:即利用用户的生物特征或者行为特征等进行认证。比如,指纹、声纹、虹膜、步态以及 DNA 序列等都属于此类。

图 | 网络

02丨口令以及口令安全

我们目前所知的计算机口令,由图灵奖获得者 Fernando Corbató 博士在上世纪六十年代改进分时系统的过程中发明。在分时系统中,Fernando 博士用口令来保护个人用户文件不被随意访问。这也是最早的计算机安全机制之一。和其它认证方式相比,无论是从部署的简易性和部署成本上看,还是从可撤销和可更改性等安全方面看,口令都具有一定的优势。因此,自从互联网普及以来,口令成为了一种广泛应用的身份认证方式。

图 | 网络

在实际使用中,互联网应用爆发增长,海量的互联网服务依赖于口令作为身份认证方式,这又要求用户需要记忆大量复杂的口令。但从生物学上看,人类不太可能记住很多复杂的口令。这导致了同一个口令在不同服务中重复使用的情况出现以及很多弱口令的存在。这大大降低了口令的强度,影响了口令的安全性。

一方面,口令的安全性受限于用户选择口令的强度。口令需要具备一定的强度,即具有较高的信息熵。但一般来说,在没有指导的情况下,口令的选择具有偏向性,会偏好于特定的组成和长度,如常见的姓名生日组合。据知名分析公司 SlashData 等调查,“123456”、“qwerty”以及“password”等都是常见的弱密码。其中“123456”更是弱密码排行榜上长居榜首。弱口令几乎等同于没有口令,很容易被在线/离线猜测攻击攻破

常见弱口令示例,来自维基百科

另一方面,口令的安全性受限于服务提供商的安全性。服务提供商一般需要设置用户口令生成策略用以指导用户生成具备一定强度的口令。另外,服务提供商对口令如何处理和保存也是影响安全的重要因素。加盐保存以及加密传输是保护口令的基础手段。另外,对口令的脱库和撞库攻击也屡见不鲜。因此,如何防止被脱库也是服务提供商应该考虑的安全目标。

03丨如何保证口令安全?

对于普通用户来说,首先避开姓名生日组合、“123456”等弱口令,选择一定强度的口令。一般来说,挑选一定长度随机字符值来作为口令会使得口令强度大大增加。另外,在不同网站上应该采用不同的口令。由于随机口令难以被记忆,用户可以使用口令管理器来管理口令。

图 | 网络

其次,用户在可能的情况下应采用双因子认证(2-FA)甚至是多因子认证。双因子认证在口令认证的基础上还需要通过另外一种方式的认证,比如 Google Authenticator 的认证令牌、短信验证码以及邮件验证码等,这大大降低了身份认证被攻破的可能性。

04丨结语

虽然今天 FIDO 等组织致力于改进身份认证方式,但目前来看口令是身份认证广泛应用的一种重要方法。很多时候,用户会根据服务提供商的不同来决定口令强度,例如在 ONTO 钱包上会采用强度很高的口令,而在 WIFI 设置上可能会选择“244466666”或者“meiyoukouling”这样的口令。

图 | 网络

希望各位聪明的小伙伴们都能够提高对口令安全的认识,切实保护数字资产的安全。小伙伴也可以私信我们,讲讲你们设置过什么有趣的口令。当然,请不要把保护数字资产的口令告诉我们,我们会假装看不到的。

最后的最后,世界密码日快乐!

本文分享自微信公众号 - 本体研究院(ontologyresearch),作者:0x6d78

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2020-05-07

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 本体技术视点 | 我们与社区聊聊大家最关心的区块链话题(三)

    上一期我们回答了来自社区的提问,涉及到数字身份、区块链游戏、防止作恶和线下支付等诸多话题。同时又有很多小伙伴产生了新的疑问,带来了新的观点。作为社区互动的第三期...

    本体Ontology
  • 本体技术视点 | 去中心化身份即元平台:合作的力量(四)

    原文:《Decentralized Identity as a Meta-platform: How Cooperation Beats Aggregation...

    本体Ontology
  • 本体技术视点 | 去中心化身份即元平台:​生态中的竞争(五)

    原文:《Decentralized Identity as a Meta-platform: How Cooperation Beats Aggregation...

    本体Ontology
  • 关于口令强度等级的设计

    近来在笔者所参与的一款产品中涉及到口令安全的功能设计,其中一项功能是有关于口令强度的。在设计该功能过程中势必涉及到口令强度的划分设计,怎样的口令...

    FB客服
  • 漏洞科普:你对弱口令重视吗?

    在当今很多地方以用户名和口令作为鉴权的世界,口令的重要性就可想而知了。口令就相当于进入家门的钥匙,当他人有一把可以进入你家的钥匙,想想你的安全、你的财物、你的隐...

    FB客服
  • 软件评测师笔记(十二)—— 口令攻击相关

    3、针对弱口令扫描,通过【配置安全策略让用户设置安全密码,避免弱密码】,增加口令破解难度,如:设置密码的最小长度,组合形式

    小菠萝测试笔记
  • 火绒产品公告——企业版新增动态口令功能 二次验证加强中心安全

    火绒企业版针对火绒控制中心(以下简称中心)的防护新增“动态口令”功能。开启该功能后,通过登录中心时进行二次验证的方式,阻止中心遭遇密码泄露、弱口令暴破、撞库等黑...

    用户6477171
  • 神奇弱口令!

    123456、a123456、123456a、5201314、111111、woaini1314、qq123456、123123

    周俊辉
  • 神奇弱口令!

    123456、a123456、123456a、5201314、111111、woaini1314、qq123456、123123

    周俊辉
  • 火绒产品公告——企业版推出“终端动态认证”功能 阻止RDP弱口令渗透

    火绒针对企业用户终端的防护新增“动态认证”功能,开启后,通过登录终端时(包括远程和本地登录)进行二次验证的方式,阻止终端遭遇密码泄露、弱口令暴破、撞库等黑客破解...

    用户6477171

扫码关注云+社区

领取腾讯云代金券