越復(fù)雜的密碼約安全嗎?

很不幸，答案是否定的。人們通常認(rèn)為，把密碼設(shè)得越復(fù)雜，別人就越難猜到，但這樣一來無疑增加了記憶的難度。而對(duì)于那些企圖窺探你秘密的人來說，他們也只是想不到，而非“猜不到”?，F(xiàn)如今，還有幾個(gè)人破譯密碼是靠大腦“猜”的呢?

這就正如 XKCD 所說的那樣：經(jīng)過二十年的努力，我們成功地陷入一個(gè)誤區(qū)，那就是把密碼設(shè)的越來越難以記憶，然而卻被計(jì)算機(jī)很輕松地就破解出來了。

保證密碼強(qiáng)度的關(guān)鍵是什么?

那保證密碼強(qiáng)度的關(guān)鍵到底是什么呢?其實(shí)，上面的漫畫已經(jīng)給出了答案：密碼長度。

這里引入信息學(xué)中的信息熵(我們常聽人說這個(gè)信息多、那個(gè)信息少，對(duì)信息“多少”的量化就是信息熵)，用它來作為密碼強(qiáng)度的評(píng)估標(biāo)準(zhǔn)。信息熵計(jì)算公式為 H = L * log 2 N，其中，L表示密碼的長度，N的取值見下表：

從上面的公式和表中，我們可以看到，密碼強(qiáng)度 (H) 與密碼長度 (L) 和密碼包含字符的種類 (N) 這兩個(gè)因素有關(guān)。然而它們對(duì)密碼強(qiáng)度的影響是呈指數(shù)倍的關(guān)系。

舉個(gè)例子，假設(shè)密碼長度的單位為比特，8個(gè)比特即為一個(gè)字節(jié)(即輸入密碼時(shí)的一個(gè)字符，一個(gè)字節(jié)可以代表256個(gè)不同字符)，如果某臺(tái)超級(jí)計(jì)算機(jī)的計(jì)算能力為每秒能完成 2 56 次組合運(yùn)算，破解8個(gè)字符組成的密碼僅需4分16秒。當(dāng)密碼長度達(dá)到16個(gè)字符的時(shí)候，暴力破解它需要 149,745,258,842,898 年!要知道太陽的壽命也只有約10,000,000,000 年，而目前世界上速度最快的計(jì)算機(jī)K Computer也只能每秒完成約 2 53 次運(yùn)算。當(dāng)然，這只是一個(gè)極端化的例子。事實(shí)上，我們可以用來當(dāng)密碼使用的字符只有 95 個(gè)( 26 個(gè)小寫字母 + 26 個(gè)大寫字母 + 10個(gè)數(shù)字 + 33個(gè)標(biāo)點(diǎn)符號(hào))。

更大的風(fēng)險(xiǎn)所在：萬能鑰匙

在現(xiàn)實(shí)生活中，我們都選擇“一把鑰匙開一扇門”。誰都不會(huì)希望有一把鑰匙既能用來開家門，也能用來開車門、公司的門、宿舍的門，因?yàn)檫@把“萬能鑰匙”一旦丟失，損失將是慘重的。隨著網(wǎng)絡(luò)社會(huì)的發(fā)展，如今大多數(shù)人都握有十多個(gè)網(wǎng)站的賬號(hào)，你是繼續(xù)選擇“一把鑰匙開一扇門”的策略，還是改用“萬能鑰匙”的策略呢?如果是前者，那么無疑將增加你的記憶負(fù)荷，如果是后者，安全隱患是顯而易見的。

▲圖像來源：XKCD

而要說的是，許多人都意識(shí)到了這點(diǎn)，并且為了避免這種情況，相當(dāng)一部分人選擇將密碼分為兩部分，一個(gè)主要部分(比如是 123456 )，另一部分則根據(jù)賬戶而定： QQ 的密碼就設(shè)為 qq123456 ，而 gmail 的密碼則是 gmail123456 等等。但如此直白的設(shè)置，頗有掩耳盜鈴的味道，一旦一個(gè)賬戶失竊，看穿這個(gè)規(guī)律，也不過一秒的事情而已。

與黑客的博弈

為了規(guī)避上述種種風(fēng)險(xiǎn)，大家開始設(shè)定許多個(gè)又長又復(fù)雜的密碼。但復(fù)雜的長密碼并不容易記住，更何況是要記住好幾個(gè)這樣密碼(請問有誰沒有忘記過密碼呢)。在經(jīng)歷了多次遺忘密碼的痛苦之后，人們又開始傾向性地選擇那些容易讓自己記住的信息作為自己的密碼。比如自己或親人的姓名、生日、電話號(hào)碼等等。但這恰恰把安全隱患留給了躲在暗處的黑客。

有人對(duì)用戶的密碼做過統(tǒng)計(jì)，研究他們設(shè)置密碼時(shí)的偏好，并將統(tǒng)計(jì)結(jié)果繪制成圖。 61% 的用戶喜歡使用人名、地名、字典詞匯和純數(shù)字來設(shè)置他們的密碼。甚至還有2.6%的用戶直接把他們的用戶名當(dāng)做密碼使用(比如把 guokr123@ …的密碼直接設(shè)置為 guokr123 )。這些都是具有安全隱患的密碼設(shè)置策略!黑客們了解用戶的密碼設(shè)置習(xí)慣后，就可以編寫“密碼詞典”，有了這本詞典后，就可以在暴力破解的時(shí)候大大提高精準(zhǔn)性。比如在 這里 可以下載到 10,000 個(gè)常見密碼的詞典(該詞典作者稱有 99.8% 的用戶都是使用這本詞典中的密碼)。有人對(duì)Sony公司的用戶密碼也做過 研究調(diào)查 ，結(jié)果也令人堪憂。

用戶密碼設(shè)置使用習(xí)慣

有網(wǎng)站如1PASSWORD 給出了新的策略。它相當(dāng)于為你提供了一個(gè)帶鎖的記事本，可以讓你把所有的密碼記在這個(gè)記事本上，你只需保留開鎖的鑰匙/密碼即可。撇開這個(gè)網(wǎng)站的靠譜程度不談，單單為了這樣一個(gè)記事本，你就要付出 40 美元的代價(jià)。同時(shí)請別忘了，它僅僅為你解決了記憶密碼的問題，還是沒有逃開設(shè)置密碼這個(gè)更加頭疼的問題。

優(yōu)秀的密碼設(shè)置策略

如何設(shè)定一個(gè)靠譜的密碼?

以前提到了一些密碼設(shè)置上參考建議，里面提到“用統(tǒng)一規(guī)則記住多個(gè)不同密碼”是個(gè)不錯(cuò)的選擇。畢竟記住一個(gè)規(guī)則比記住一串雜亂無序的字符要容易多了，也可以實(shí)現(xiàn)“一把鑰匙開一扇門”的策略。在這里不妨舉個(gè)例子，給出一個(gè)簡單的密碼設(shè)置規(guī)則(以電子信箱為例)：

[密碼]=2*([用戶名標(biāo)識(shí)符(小寫/大寫)]+[用戶名長度]+[.]+[網(wǎng)站標(biāo)識(shí)符(大寫/小寫)]) 例：guokr123@gmail.com，密碼為：gk8.GM GK8.gm songshuhui@hotmail.com 密碼為：ssh10.HTSSH10.ht

但是，真的安全了么?

▲圖像來源：XKCD

所以還請讀者記住的就是，一個(gè)優(yōu)秀的密碼可以盡可能地降低風(fēng)險(xiǎn)，但它不能將風(fēng)險(xiǎn)降為零。

huanghui