这个密码被破解的时间仅需0秒

原创 韩伟力 复旦大学出版社

A：输入密码

B：********

A：密码错误，请重新输入

B：********

A：密码错误，请重新输入

B：********

... ...

B：密码输入次数超限

A：忘记密码，重置

B：新密码不能与原密码一致

A：……

以上场景简直是上网冲浪之不能承受之重。

当使用的app越来越多，

需要用到密码的频率也越来越高，

简单的密码，容易被他人破解，

例如，

人气选手123456这个密码

从2013年开始，

至今仍盘踞冠军宝座，

目前还有1.03亿人在使用，

这个密码被破解的时间仅需 0 秒，

另一个常用密码“88888888”则是 0.01 秒。

而复杂的密码又会常常把自己挡在了门外...

那么，

到底应该设置一个什么样的密码

才能兼顾安全与好记？

这些密码千万不要再使用啦

用户口令即为我们常常所说的“密码”。

虽然不被管理者推荐，但是用户往往会在创建口令时使用个人信息，（譬如用户名、生日等），这主要是因为个人信息更加方便用户记忆口令。文献指出，在12306这个数据集中60.1%的口令包括个人信息。此外，研究人员发现通过把个人信息融入PCFG猜测模型中，可以大大提高口令猜测效率。这进一步说明个人信息的使用会削弱口令安全性。这是因为用户个人信息很容易落入攻击者手中，攻击者可以较为方便地利用这些用户的个人信息去破解他们的口令。

和个人信息习惯相同，语义习惯是指在口令中使用自然语言的语义。譬如口令“ILikeEnglish0011”中含有“I Like English”这样的语义。语义习惯同样会严重损害口令的安全性，但是也因为方便记忆而被大量用户使用。Veras等人对语义习惯及其对口令安全性的影响做了大规模调研，研究结果和个人信息习惯类似用户口令中存在的语义习惯也会大大降低口令的安全性，这是因为语义的存在会大大减少攻击者猜测口令时所需要遍历的搜索空间。

模式习惯是指用户创建的口令中遵循某些模式特征，这些模式特征往往在字符分布或者输入工具布局的空间分布上存在着显著规律。譬如重复模式（“123123123”），键盘模式（“asdfghjkl”）。和带有个人信息和语义的口令类似，模式特征的使用也会减少攻击者所需要遍历的搜索空间，从而降低攻击者破解用户口令的难度，进而损害用户口令的安全性。

用户的口令重用习惯是指用户复用或简单修改自己在其他网站上使用的口令而创建新的用户口令。在2014年Das等人分析了口令重用后得到的新口令和原口令之间的相似度，并使用文本相似度算法，（譬如最大共同长度度量、曼哈顿距离等）进行数值上的度量，其最终结果表明，30%用户的新旧口令相似度在80%以上。他们还发现增加口令重用规则（譬如用“@”替换“a”等）后，100次猜测数下的口令猜测效率可以提高14%。

如何设置一个安全、好记的密码

NIST一直得到各个政府机构、金融机构和高等院校广泛认可。在2017年NIST公布的最新口令生成策略标准NIST SP-800-63中，NIST对口令的安全标准做了如下要求。

在设置密码时，我们也可以适当参照标准对密码进行合理的设置。

口令应当首先满足更加容易被记住而不是更难被破解的要求。NIST推荐使用长的口令短语（有语义的长口令）而不是复杂的口令。NIST的口令推荐策略更推崇用户能记住的口令，而不是包含足够多字符种类的复杂口令。NIST这样推荐是因为纯粹为了保证安全性的复杂口令对用户没有意义，反而会大幅增加用户的记忆负担。

口令长度更加重要。根据NIST的新策略，用户创建的口令长度至少应为8个字符，最大长度应允许超过64个字符。

口令中可以使用特殊字符与表情符号。新的NIST口令生成策略提出，所有可打印的ASCII字符都可用于创建口令，使用键盘创建的任意字符串（包括空格）都可以作为口令。另外，表情符号也可用于创建口令。

此处画个重点

设置密码时首先要能被自己记住，

可以使用相同的设置规则，

比如某句话、某句歌词的开头首字母等；

密码要尽可能长一些，至少要有8位；

另外对于那些安全级别较高的账户，

需要提高密码的难度，增加使用特殊符号。

在未来，我们可以不用密码

也能安全“冲浪”吗？

进入 21 世纪，移动互联网时代高速发展，用户的数据信息泄露事件频繁发生。

一些不法分子会利用现有的泄漏信息，通过网络钓鱼，直接向真人骗取更多信息，例如山寨登录网站以及诈骗电话。

因此，如今的口令机制中，除了常用的字符口令，还开发了多种验证机制，其中较为典型的一种是生物认证因子认知方法。

生物特征因为具有唯一性，而在身份鉴定中被大多数研究人员推崇。用生物特征进行身份认证的方式称为基于生物识别技术的认证，常用于生物识别的生物特征有指纹、虹膜、视网膜、人脸等。基于这些特征，人们已经开发了指纹识别、人脸识别等多种生物识别技术，并做了广泛的部署。

以人脸识别为例，在实际的商业化方案中，被广泛使用的方法是，首先基于人脸检测技术快速锁定人脸区域，再根据红外热成像将人脸的热辐射红外线特定波段信号转换成人类肉眼可辨的图像和图形，最后对人脸进行特征提取，即面部特征所组成的信息集。人脸识别算法利用卷积神经网络对海量人脸图片进行学习，从图像中提取不同人脸的特征向量，每张人脸在算法中都有一组对应的特征值，最后再通过人脸比对技术利用深度学习模型提取出的人脸特征向量进行相似度比对，在一定阈值内相似即可通过校验。

生物认证因子由于其便携性、不可篡改性等优点，在当前已被公众广泛接受，但也存在着大量争议，特别是伦理方面的争议。这使得研究人员正在考虑如何规范人脸识别等生物特征识别和认证技术在社会中的应用。

今日

荐读

《用户口令：系统安全的最前线》

韩伟力 著

ISBN：978-7-309-16255-4

出版时间：2022年9月

内容提要

用户口令又被称为“密码”。从解锁手机到打开电脑，从登录电子邮件系统到网上银行系统， 用户口令日益成为我们生活工作的一部分。近年来， 用户口令安全事件频出， 无一不牵动着人们敏感的神经。人们对用户口令的使用非常熟悉，但对用户口令所面临的威胁和保护措施知之甚少。

本书凝结了用户口令安全领域近20年来的一些主要研究成果， 深入浅出地介绍了各类针对用户口令的攻击方法， 阐述了相应的防御对策，并从用户口令的攻击与保护两方面呈现了用户口令安全理论与技术的发展与趋势。

无论是对于希望了解用户口令安全相关知识的技术爱好者，还是对于希望从事数据驱动安全方向研究的专业人士，本书都是一本大有裨益的佳作。

作者简介

韩伟力，复旦大学教授、博士生导师，复旦大学软件学院副院长，上海市计算机学会信息安全专委会副主任，中国计算机学会上海分部监委会主席。研究方向包括数据安全、访问控制和系统安全。在IEEE S&P、ACM CCS、USENIX Security、SIGMOD和IEEE TDSC、TIFS等顶尖会议期刊录用发表多篇高质量学术论文。主持包括国家自然科学基金重点和面上项目在内的多项国家和省部级科研项目。曾参与组织多个国际重要学术会议（CTCIS 2019程序委员会主席、SACMAT 2016本地主席）。现为International Journal of Communication Systems副编辑。

原标题：《霸榜9年！这个被破解只需0秒的不靠谱密码，听说你也在用》

阅读原文