use*_*304 2 security passwords
我最近经历了将所有密码更改为更安全的密码的烦人过程。我按照现在普遍推荐的方式做了——我把它设为 16 个字符长,包括符号、数字、大写、小写等,直到最终产品看起来或多或少像一个随机的数据字符串。
然后我遇到了以下xkcd 漫画,它本质上告诉我,我最好背靠背使用几个词,因为这将具有 99% 的实际安全性,同时也更容易记住。
所以我的问题是,这部漫画有多正确?
是和否。在 Security.SE 上有很多关于这个主题的讨论。让我们从Jeff Goldberg 的回答中引用一段话开始:
XKCD 漫画没有有效传达的是,选词必须(均匀)随机。如果你让人类随机选择单词,你会对具体名词产生严重的偏见。这种偏见可以而且将会被利用。
这可能是对 XKCD 计划的最重要的打击。人类在想出任何随机 [需要引用] 的东西方面是很糟糕的。“我翻转爱我美妙的狗和猫”当然足够“长”,但绝不是不可预测的。
(顺便说一句,Jeff 还指出 XKCD 计划实际上并不是 Randall Munroe 的原创:
“类似 XKCD”的密码的总体想法至少可以追溯到1980 年代初期的S/Key 一次性密码。
)
在得票最多的回答提醒我们一个事实,即我们需要知道我们要捍卫什么反对:
没有关于密码的一致建议的众多原因之一是这一切都归结为威胁建模问题。你到底想防御什么?
例如:您是否试图防范专门针对您并了解您的系统以生成密码的攻击者?或者您只是某个泄露数据库中数百万用户中的一员?您是在防御基于 GPU 的密码破解还是只是一个弱网络服务器?您是否在感染恶意软件的主机上?
我认为您应该假设攻击者知道您生成密码的确切方法并且只是针对您。xkcd 漫画在这两个例子中都假设世代的所有细节都是已知的。
看看这个简短的列表。如果您符合此配置文件,那么 XKCD 方案可能适合您:
1. 密码只会在一处使用。
2. 您只关心让诚实的人和脚本小子远离您的帐户或远离您的数据。
3. 嗯……真的没有 3。
说白了,除非你愿意用Diceware来生成一个好记的密码,否则不要因为 XKCD 方案而为任何严重的事情操心。特洛伊亨特前段时间分析过这一点。正如他在那篇文章末尾所说的那样,“最佳”密码建议是使用完全随机的密码和密码管理器:
因此,我总共跟踪了 130 个帐户。很少有人会读到这篇文章并且拥有的帐户少于 30 个,即使您现在无法将它们全部放在脑中(您真的记得您曾经创建的每个帐户吗?)老实说,添加它们全部起来,看看你会得到什么,即使是那些你不经常使用的。如果您现在没有 30 个帐户,那么您需要多长时间才能拥有?最近和我 60 多岁的父亲一起完成了密码管理练习,而且我不是技术背景,我知道最坏的情况是,任何普通的在线用户几乎肯定会拥有比他们手指和脚趾都多的帐户,而且肯定更多比他们可以应用他们的记忆。
我没有 130 个帐户,但我的密码管理器中肯定不止手指和脚趾。每次我更改工作计算机的密码时,我都需要大约三周的时间才能记住它。这可能是我实际手动输入的 2-4 个密码之一!尝试将其扩展到 30-100 个帐户,但它根本不起作用。
| 归档时间: |
|
| 查看次数: |
132 次 |
| 最近记录: |