你的密码足够安全吗？ - 安防知识网

近期一项来自加拿大康考迪亚大学的调研显示，我们日常使用的很多知名网站的密码安全强度指标可能会令用户误入歧途。

　　近期一项来自加拿大康考迪亚大学的调研显示，我们日常使用的很多知名网站的密码安全强度指标可能会令用户误入歧途。

　　如果你现在还在通过密码安全强度指标来判断自己的密码安全强度，兴许这并非什么好事。加拿大魁北克省的康考迪亚大学最近一项研究结果显示，目前密码安全强度测定方式高度不一致或许会让用户误入歧途。

　　大量实证分析结果表示，目前常用的密码安全强度指标高度不一致，无法提供连贯的反馈，有的时候甚至会显而易见地令用户误入歧途。

　　就全球访问量超高的网站以及知名的密码管理工具所采用的密码安全强度指标，康考迪亚大学研究员泽维尔和默罕默德·曼南开展了一项研究和评估。这种常用的密码安全强度指标现如今被苹果、Dropbox、Drupal、谷歌、eBay、微软、PayPal、Skype、腾讯 QQ、Twitter、雅虎以及俄罗斯的邮箱服务商 Yandex Mail 广泛采用，另外一些专业的加密服务商 LastPass、1Password 和 KeePass 也在采用这种指标。此外该研究还特意选择 FedEx 和中国铁路客户服务中心的网站作多样性对比。

　　泽维尔和默罕默德·曼南从公开的密码词典(甚至包括被泄露的真实密码)中选取了近 950 万条密码，通过专业的加密服务来了解密码安全强度指标的实际效用。

　　互相矛盾的无效密码鉴定规则

　　通常而言，追求密码长度的密码安全强度指标，各种字符集合(包括各种大小写字母、数字和符号)当中的一些常用单词(弱密码)往往就会被探测。然而对于追求密码组合的密码安全强度指标则通常会忽略其他容易被猜中的密码模式，比如在密码"Leet" 中，用数字「1」来替代字母"L」。

　　匪夷所思的密码鉴定结果

　　令人困惑的是，几乎完全相同的密码竟然会得出完全不同的结果。比如密码「Paypal01」被 Skype 当做弱密码，但是却被 PayPal 视为强密码。密码「Password1」被 Dropbox 当做极弱密码，但是却被雅虎视为极强密码，更令人哭笑不得的是「Password1」竟然从微软的三款密码检测工具中获得三项密码安全程度结果，分别是强、弱和中。密码「#football1」被 Dropbox 视为极弱密码，却被 Twitter 视为完美的密码。

　　在某些密码案列中，一些十分微小的密码变化却带来完全不同的密码安全程度的评价结果。密码「password$1」被 FedEx 视为弱密码，但将密码略加修改为「Password$1」时，FedEx 就将其视为极强密码。此外，雅虎将「qwerty」视为弱密码，当将密码略加修改为「qwerty1」时，雅虎就将其视为强密码。

　　谷歌也有同样的情况，密码「password0」被视为弱密码，但将密码略微修改成「password0+」，却被谷歌视为强密码。令人匪夷所思的是，FedEx 竟然将天书般的密码「+ˆv16#5{]」视为弱密码，理由是改密码并未包含大写字母，天理何在!

　　研究人员在调研报告中写道，「一些密码安全强度指标本身都非常弱且不连贯，比如雅虎和 Yandex，人们不禁纳闷差别如此之大的密码安全强度指标到底能起到什么作用。」

　　不透明的密码分析算法

　　泽维尔和默罕默德·曼南认为不透明的密码检测工具会带来弊端，用户对于完全不一致的密码检测结果感到十分困惑

　　调研报告写道，「除了 Dropbox 和 KeePass(某种程度上)在密码实验中解释了其内在的密码设置的要求或者强密码的设定规则逻辑。除了 Dropbox 和 KeePass，在密码实验中，我们发现各网站和密码工具的密码安全强度指标的设计都有着各自特定的方法，所以才导致将某些弱密码视为强密码。目前较为简单的 Dropbox 密码检测工具有着较高的密码分析效率，可以说是走到了检测密码安全程度的正轨上。另外 KeePass 也采用了类似的密码分析算法。」

　　泽维尔和默罕默德·曼南建议这些网站服务商应在自家的密码安全强度指标中采用通用且公开的密码分析算法，比如 Dropbox 所采用的 zxcvbn 算法或者 KeePass 的开源密码工具。