用戶口令現(xiàn)狀調(diào)查與分析

張珺

摘 要

本文以現(xiàn)如今普遍存在的“密碼危機(jī)”為入口點(diǎn)，分析了現(xiàn)在國(guó)內(nèi)外用戶口令設(shè)置的特點(diǎn)和危害，然后介紹了一些常用的密碼管理軟件并就如何設(shè)置安全性高的口令提出建議。

【關(guān)鍵詞】用戶口令 密碼危機(jī) 身份

1 調(diào)查背景

使用口令進(jìn)行身份驗(yàn)證是一種古老、易于實(shí)現(xiàn)，也是比較有效的身份認(rèn)證手段。現(xiàn)如今很多系統(tǒng)都采用口令認(rèn)證的方式把好第一道關(guān)，然而，近年來(lái)有關(guān)網(wǎng)絡(luò)密碼泄露、黑客入侵、用戶私密信息曝光等新聞屢見(jiàn)不鮮，對(duì)黑客來(lái)說(shuō)，利用暴力或其他方法破解網(wǎng)站數(shù)據(jù)庫(kù)是輕而易舉，其中很大的因素都是因?yàn)橛脩羰褂昧巳蹩诹睿茨切┤菀妆凰瞬聹y(cè)或被暴力工具破解的口令。

2 用戶口令現(xiàn)狀調(diào)查

2.1 我國(guó)

近些年，我國(guó)發(fā)生了不止一起的密碼泄露的案件，在烏云漏洞平臺(tái)的弱口令事件，通過(guò)搜索“弱口令”可以發(fā)現(xiàn)很多弱口令的信息。通過(guò)對(duì)這些網(wǎng)站大量的用戶密碼的統(tǒng)計(jì)和分析，我們發(fā)現(xiàn)了很多相似的密碼，并得到了如表1的統(tǒng)計(jì)結(jié)果。

由此可見(jiàn)，密碼設(shè)置最多的還是純數(shù)字，而且相似度很高，很容易猜測(cè)，風(fēng)險(xiǎn)極大。對(duì)不同密碼類(lèi)型及特殊字符分析總結(jié)后，我們得到表2。

表2顯示，和用戶名相關(guān)或E-mail、手機(jī)號(hào)比較受歡迎，另外，人們也很喜歡用自己的生日作為密碼，這些方式都很不安全，特別是對(duì)于了解用戶的入侵者而言，很容易就能通過(guò)個(gè)人信息猜解到用戶密碼。

2.2 國(guó)外

據(jù)報(bào)道，不久前，美國(guó)密碼管理應(yīng)用程序提供商公開(kāi)了2015年度最弱密碼，“123456789”，“password”，“football”等再次中槍?zhuān)M管黑客猖獗，數(shù)以萬(wàn)計(jì)的網(wǎng)名密碼被盜，可是很大一部分用戶似乎并沒(méi)有因此提高安全意識(shí)，從今年的榜單來(lái)看，人們?cè)O(shè)置密碼的偏好也會(huì)受當(dāng)年流行元素影響，比如設(shè)置電影中的經(jīng)典臺(tái)詞，如《星戰(zhàn)7》中的“princess”。

3 口令空間及密碼熵的概念

我們用口令空間和密碼熵來(lái)衡量一個(gè)密碼的安全性大小。

我們定義口令空間=A^L ，其中A表示口令的字符空間，L表示口令的長(zhǎng)度。口令空間越大越安全。

更為精確的衡量標(biāo)準(zhǔn)是密碼熵。密碼的破解難度依賴(lài)于密碼的不確定性，與密碼本身包含的信息量有著直接的關(guān)系，密碼提供的信息量越大，其不確定性就越小，也就越容易破解，反之。

用位表示的熵（H）計(jì)算公式如下：

H=log2（b^m）

其中b表示密碼的字符空間，m表示密碼密碼的長(zhǎng)度，公式表明，密碼長(zhǎng)度一定時(shí)，隨機(jī)選取的密碼強(qiáng)度最大。因此要想讓自己的密碼更加安全，根據(jù)密碼熵的公式，顯然，擴(kuò)大字符集數(shù)量或者密碼長(zhǎng)度，以及盡可能隨機(jī)的密碼組合會(huì)更加可靠。

5 建議

根據(jù)上述分析，為了防止自己的口令被破解而造成不必要的麻煩，我們給出如下建議以提高口令強(qiáng)度和安全性：

5.1 口令長(zhǎng)度不要太短

除特殊要求一般至少設(shè)置在8位以上。位數(shù)太短，使用暴力破解很容易。

5.2 口令組成不要太單一

不僅要有數(shù)字、大小寫(xiě)字母，還要加入若干特殊符號(hào)，比如#、$、%等。

5.3 口令內(nèi)容不要是很容易理解或猜解的

比如不要用生日、電話號(hào)碼、單詞、句子等。這種方法很危險(xiǎn)，因?yàn)楹诳碗S時(shí)可以從一些社交網(wǎng)站上獲得你的個(gè)人信息。最好設(shè)置復(fù)雜、方便記憶的個(gè)性口令。比如使用詩(shī)句的開(kāi)頭字母：“病樹(shù)前頭萬(wàn)木春”——bsqtwmc，或者使用一些公式：1$=6RMB，即1美元等于6元。

5.4 口令最好定期更換

使用密碼管理軟件；不要多處使用同一個(gè)口令（防止黑客一旦破解其中一個(gè)便能很容易得到其他口令）；不要無(wú)意間向他人透露自己的口令密碼（社會(huì)工程學(xué)）等等。

5.5 使用一次性口令認(rèn)證

對(duì)于安全級(jí)別要求很高的系統(tǒng)，如銀行取款系統(tǒng)，建議使用一次性口令認(rèn)證，如動(dòng)態(tài)令牌。

6 結(jié)語(yǔ)

種種泄露事件一次又一次向人們敲響警鐘，黑客隨時(shí)利用漏洞進(jìn)行攻擊。我們要做好全面防范，首先就是要讓自己的密碼變的可靠。本文介紹的一些注意事項(xiàng)和方法希望能給大家一些啟發(fā)，加強(qiáng)密碼強(qiáng)度，保護(hù)好個(gè)人隱私安全。

參考文獻(xiàn)

[1]魏為民.國(guó)內(nèi)網(wǎng)絡(luò)用戶密碼分析[M].上海：電力學(xué)院出版社，2013（12）.

[2]胡旭.計(jì)算機(jī)口令的設(shè)置與技巧[D].遼寧林業(yè)學(xué)院，2012（04）.

[3]嚴(yán)霄鳳.基于熵的密碼強(qiáng)度估值[Z].北京：中國(guó)賽迪實(shí)驗(yàn)室中國(guó)軟件評(píng)測(cè)中心.2013（11）.

作者單位

重慶大學(xué) 重慶市 400044