继索尼图片闹事,在LulzSec黑客公布了部分文件,其中包含了成千上万的用户的密码。对于索尼电影公司,涉嫌未加密的密码文件是一个尴尬。对于其网站的用户,漏洞是烦恼。但对于密码的研究人员,是另一种违约行为进行分析的数据点。
难怪研究人员散列,嘎吱嘎吱,否则挤掉了一些结论。
当然,上面的结论是,用户选择错误的密码。在他的文件分析,安全博客特洛伊亨特发现的密码一半是七个字符或更少。此外,36%的密码被列入了常用密码的密码字典。
另一个结论:人们通常重复使用的密码。亨特相比,索尼影业密码文件到另一个密码文件从新闻网站Gawker的被盗,发现88的电子邮件地址相匹配。在这些案件中有三分之二的用户使用相同的密码。
会议强烈要求使用 - 换言之,长或复杂 - 密码,使每一个独特的是一个艰巨的任务,以至于大多数用户都放弃了,选择易于记忆的密码,并使用他们在多个网站。
“如果我们承认,相当长的密码和独特性是重要的,你需要有一个密码管理器,”亨特说。“因为,除非你是一个SAVANT,你可以不记得那么多。”
然而,在讨论与其他密码专家为突破口,不同的结论反复饲养它的头:供应商,而不是用户,都归咎于错误的密码。
虽然用户可以选择强大的密码并控制自己的重用,只有看门人,可以强制密码强度的要求是供应商。有一些用户对自己的命运控制,但有更多的在线服务提供商表示,每Thorsheim,组织了两次对密码的主题会议研究员。毕竟,它的服务提供者设置什么是可以接受的密码策略。
“对我来说,这是简单的心理:如果系统接受我的密码的选择,那么它必须足够好,”Thorsheim说。“我期望得到更好的服务提供者在自己的系统在安全性比我可能可以。”