本文讲的是 “iloveyou88”比“ilovekale”好猜解的多,对于安全专业人士来说,“iloveyou”这种口令,明显比“ilovekale”(我爱吃紫甘蓝)好猜许多。但根据卡耐基梅隆大学(CMU)主持,美国计算机学会发布的一项调查显示,非专业人士对强口令的组成部分知之甚少。
密码应该包含字母、数字、符号的老一套规则意味着,CMU网络实验室(CyLab)收到的回复中,认为“ieatkale88”和“iloveyou88”强度差不多的大有人在。
这部分人群还认为,“L0vemetal”比“Lovemetal”更难破解——虽然对自动化攻击而言二者没什么实际差别。
科学家们模拟攻击了上述2个口令,虽然在引入字典后两者都弱化了很多,“I love you”字符串也比“I eat kale”常见多了,后者比前者要多猜“40亿次”才能猜到。
调查验证方法特别简单:CyLab的研究人员请165位参与者在线评出精心组合的口令对的安全性排名,并对现有口令和常见口令创建策略的安全性及易记性作出评测。
在充分研究的基础上(看吧,数据泄露事件某种程度上是有好处的),他们确保了显示给用户的口令对中至少有1个来自于2009年RockYou数据泄露事件中那些易被猜出的口令。(编者注:2009年,RockYou网站3200多万用户信息遭黑客盗窃,RockYou最终被罚款25万美元)
说来奇怪,参与者对安全口令特征的看法,竟然与今天的口令破解工具的表现相一致;但在酝酿自己的口令时,他们却又不遵循自己明显知道的原则。
当然,普通路人也毫不清楚攻击者到底要猜多少次才能命中。因此,34%的人觉得能挺过50次猜解的就是安全口令了,67%认为猜5万次都猜不出的,那真是相当好的口令。
IT狂人们则注定会把结果弄成随机抽样似的:4%觉得挨过10的14次幂次猜解才刚能摸到够强壮的边。
既然如此,笔者建议,最好还是弄个口令管理工具,再用强口令产生器而不是用你自己的大脑来设计口令比较好哦。