延续 30 年的错误—— 用户名/密码组合
By John Timmer from Ars Technica | Akanekou 译,Logout 校,转载请注明 ifanr.com 译文链接。
有大量技术解决方案被用来确保计算机环境的安全,从警告网络钓鱼式攻击 (phishing attack,用伪装的电子邮件地址或 web 站点骗取用户名、密码、信用卡等个人信息) 到阻止僵尸网络 (botnet,通过各种途径感染互联网上大量主机) 蔓延。但有研究表明,人为因素也在安全环境中扮演着重要角色。安全的基本理念中有一条箴言:密码。最好的安全措施往往忽视了一项基础研究成果——人类联系随机文本的能力很有限。一份对研究机构 IT 用户进行的最新调查揭示了目前的密码状况有多糟糕:能很好遵照安全规范的用户不足 5%。
这份最新的调查报告发布于 Proceedings of the Human Factors and Ergonomics Society。报告详细论述了我们对密码问题的认识到底有多早,结果令人吃惊。文章引用了 1979 年对 Unix 密码的研究,当时发现 30% 的密码由四个以下字符组成,15% 的密码是字典里出现的单词。2006 年对 3.4 万个 MySpace 用户密码的独立统计表明,最常见的密码为"password1", "abc123", "myspace1", 和 "password"。
密码容易被破解这个事实并不仅有经验主义的支持。神经科学表明,人类大脑对自由组合的、没有内在含义联系的文本无法做出很好反应。一份论文曾说,“多密码管理危机可以看作是人类长期记忆中存在的 ‘查询’ 和 ‘检索’ 问题”。虽然人类在对包含特定意义的图像和单词进行长期记忆时表现不错,但在密码方面并不擅长。因为密码通常是近乎随机的一串字符。另外记忆密码与帐号间的匹配也是挑战。
因此,在密码这个问题上,知道自己应该做什么和实际上能怎么做之间就存在很明显的差异。上文作者就和网络管理员一起做了好几个试验,探寻问题的来由。他们利用已知信息调查用户的密码使用习惯。这些网管管理着同一个需要接触敏感信息的组织里的 836 个职员,并为他们提供计算机安全培训。很明显,调查参与者越多样化越好,但在同一个组织进行调查可以保证每个人接受的安全培训水准接近。
作者的统计以不符合安全规范的次数为衡量标准,例如使用短密码、没有在密码中组合使用字母和符号、把密码写下来或重复使用相同密码等情况。结果只有 4.4% 的人能够完全按规范使用密码,大部分人都会犯 3 个以上的错误。作者写道,“实际结果可能更坏,因为被调查者往往不愿意承认他们不按照规范来。
经验很有用,专家或者高级计算机用户比新手做的更好,但也好得有限度。例如网络管理员,他们的做法和普通用户差别并不是很大。令人不解的结果是,7% 的受调查者对计算机安全很不满,认为遵守密码规则并不能保护自己不被黑客攻击。幸运的是,这些人遵守规范的程度并不比其他人更差。
调查结果并不出人意外。我们对人类记忆的了解是:如果你给用户布置了一项基本不可能完成的任务,他们不会去完成。参与调查的这个组织平时需要处理敏感数据,也会培训用户如何保护数据,但这并没能改变现实。调查的意义在于,不要再期待不可能的事情了。作者建议,使用其它各种密码系统,从人类更易处理的记忆元素如图像系统出发,利用生物方法或基于硬件的认证实现密码安全。但只有等 IT 管理人员放弃用户名/密码这个传统习惯以后,多样化的密码处理方法才能真正起作用。