設(shè)置好的密碼,密碼應(yīng)該怎么設(shè)置比較好

　　國際電信聯(lián)盟19日表示，如果互聯(lián)網(wǎng)用戶使用同一個用戶名和密碼登錄多個網(wǎng)站，他們的身份將面臨被竊取的嚴(yán)重風(fēng)險。用戶登錄網(wǎng)上銀行、旅行社、網(wǎng)上書店等網(wǎng)站時，不可避免地要重復(fù)輸入用戶名和密碼。如果重復(fù)輸入這兩條信息，他們的身份被網(wǎng)絡(luò)竊賊竊取的風(fēng)險就會增加。

　　認(rèn)證系統(tǒng)相互獨立，缺乏協(xié)作，這越來越給用戶帶來不便。只要你的密碼符合這些標(biāo)準(zhǔn)，基本上網(wǎng)站都會獎勵你一個綠色的強密碼標(biāo)志——好密碼。但事實上，你和網(wǎng)站都錯了。為什么？第一個原因是密碼是如何被破解的。

　　黑客如何破解密碼？

　　網(wǎng)站通過將輸入的密碼與數(shù)據(jù)庫中的密碼進行比較來驗證用戶。但這些密碼一般不是明文存儲，而是通過哈希算法單向加密，輸出結(jié)果無法逆向工程。比如“123456”的SHA-1哈希算法的結(jié)果是7110 EDA 4d 09 e 062 a a5 E4 a 390 b 0a 572 AC 0d 2c 0220，通過這個結(jié)果無法知道原密碼。

　　然后，用戶登錄時輸入的密碼會被同樣的哈希算法計算出來，然后與數(shù)據(jù)庫中存儲的正確密碼哈希進行比較。如果一致，則輸入的密碼是正確的。

　　獲得哈希密碼文件的黑客可以使用暴力破解來比較哪個帳戶與哪個密碼相關(guān)。他們可以從簡單的密碼開始，可以從以前的攻擊字典或者通用字典中查找，然后結(jié)合單詞。

　　如果密碼長度短，使用的字符集只有大小寫，破解速度會快很多。黑客可以使用彩虹表(預(yù)先計算的哈希值)來加速暴力破解。按理說，使用復(fù)雜且不常用的密碼應(yīng)該是個不錯的選擇(比如像Spooning1！因為不常見，所以很難被列入彩虹榜。但事實并非如此。

　　因為目前的計算能力已經(jīng)很強了，使用普通電腦結(jié)合顯卡陣列的GPU能力，暴力破解法每秒可以處理10億到1000億個用SHA-1算法加密的密碼。但如果密碼有11、12位或以上，并且是在所有可能的字符中隨機生成的，即使有如此強大的計算能力，暴力破解法也很難破解(本文為整理發(fā)布)。

　　講故事，設(shè)置密碼。

　　但問題是大部分人都不會用隨機生成的密碼。當(dāng)然，人們不使用隨機密碼是有原因的，因為隨機密碼很難記住(大腦機制就是這樣，很難記住隨機的字母數(shù)字符號組合)。但麻煩來了，因為那些“好密碼”規(guī)則已經(jīng)被黑客們熟知了。馬庫斯雅各布松指出，這實際上是密碼設(shè)置的安全性和可用性之間的矛盾。

　　雅各布松在研究中發(fā)現(xiàn)，有人因為喜歡蘋果而在密碼中使用“蘋果”，但網(wǎng)站要求大寫字母，于是他把第一個字母改成了a，可能網(wǎng)站說不安全，必須有數(shù)字和字母。通常，用戶會選擇最簡單的方式來滿足規(guī)則，添加1，然后添加另一個！——“蘋果1！”。按照之前的密碼設(shè)置規(guī)則，“Apples1！”毫無疑問是個好密碼(至少和那些爛密碼比起來)。

　　而黑客在破解時往往也是這么做的，利用字典和單個字母替換，以及上述常用的數(shù)字和符號擴展來縮短破解時間(比如利用馬爾可夫鏈技術(shù)進行預(yù)測)。2013年年中，三位安全專家使用一個泄露的數(shù)據(jù)庫進行測試，1小時成功率為60%，而20小時成功率達到90%。

　　相反，雅各布松建議用戶使用所謂的“快速寫詞”方法來設(shè)置密碼，即幾個詞組織成一個故事，形成密碼組合。比如跑步時踩到一只松鼠，可以很快記住是“跑林松鼠”。這種方法因為有故事情節(jié)，所以容易記憶，但是因為使用的字符數(shù)通常超過10到12，所以暴力破解很難破解，除非破解者使用單詞組合等其他技術(shù)。但是單詞組合的可能性幾乎是無限的，暴力破解幾乎無解。

　　說了這么多，設(shè)置密碼不能亂講故事。研究人員發(fā)現(xiàn)，通過“快速密碼”方法設(shè)置的密碼的安全性取決于所使用的組合在語料庫中出現(xiàn)的概率。比如微軟的語料庫Web N-gram服務(wù)中常見的“我愛你親愛的”出現(xiàn)的頻率是2/100，000，000，這是一個比較糟糕的密碼。而講述工作中不小心踩到一只青蛙的故事《蛙功平》出現(xiàn)率只有百萬分之一的三次方，強度非常高。所以，要得到一個好的密碼，關(guān)鍵是要把你的故事講好。

　　然而，密碼學(xué)家認(rèn)為，與僅僅設(shè)置密碼相比，更好的方法是廣泛采用雙因素認(rèn)證來確保安全，這樣不安全的密碼就不會成為抵御攻擊的唯一屏障。

　　密碼是個人網(wǎng)絡(luò)信息安全的關(guān)鍵。在網(wǎng)絡(luò)高度發(fā)達的今天，網(wǎng)上黑手橫行。我們應(yīng)該如何設(shè)計自己的安全密碼來保證網(wǎng)上銀行、網(wǎng)上信息、網(wǎng)上交易的安全？這是一個應(yīng)該引起我們關(guān)注的問題。為了網(wǎng)上身份認(rèn)證的安全，有必要設(shè)計一套科學(xué)的密碼。我們特別推薦文中提到的三套密碼設(shè)計方法。