索尼影业,Gawker的新闻网站,社交网站RockYou - 下面的每一个高调的违约行为,黑客公布的密码文件,并点燃了一轮分析用户的密码选择。研究人员最常见的结论是:用户选择不佳的密码。
然而,在现实世界中,选择弱密码是远远低于重复使用相同的密码在多个站点的危险 。在最近的一篇论文中,来自佛罗里达州立大学,思科,和安全公司Redjack的研究人员发现,不开裂字典猜到的密码才能生存蛮力试图相当不错。
“很少有密码强度的情况下,确实有差别”纸张和安全研究人员的合作作者Matt Weir说。
常见的加密测量研究的科学家,是良好的密码强度指标。今天的破密码系统在现实中,像彩虹表中使用的技术,不开裂的蛮力方法,常见的密码猜测的焦点。研究人员证明,常见的实力估计过高估计开裂容易被猜到的密码的困难和低估的打击更复杂的代码的难度。
结论:真正的弱口令 - 那些少于八个字符,并包含在密码字典 - 可以很容易被打破。然而,加入少许的复杂性,密码变得更难打破。
“立即伸出的是,密码破解会议开始,像其他的攻击,但很快就创下了高原,他们成为显着效果较差,”纸中的reseachers状态。“不幸的是,这意味着仍然存在着相当数量的用户,挑弱口令,并会在网上的破解攻击而受到损害。”
研究破坏密码强度的焦点,因为这样做最近发生的事件。尤其是密码强度无关紧要,如果供应商不敏感的文件,存储密码保护。例如,据称,索尼影业不加密的密码文件,允许任何人对文件的访问,如黑客闯入该网站,有完全访问所有的密码。
此外,密码的实力在许多情况下并没有要紧,因为公司没有加密的密码文件,都暴露薄弱和强大的密码。RockYou违反暴露了约30万密码和索尼影业暴露一个亿,都没有加密保护据称。
面对这样的事件,具有独特的密码是显着比实力更重要。一个独特的密码限制违反任何的影响,受影响的帐户 - 一个更好的情况,然后试图迅速改变您所有帐户的密码。
然而,由于保存密码,跨越几十个网站和在线服务,一个人通常属于跟踪的难度,大多数用户重用密码。Gawker的密码设置的分析,发现76%的人重复使用自己的密码。Gawker的和索尼相比,发现67%的帐户使用相同的电子邮件地址,另一种分析也有相同的密码 。
尽管许多安全研究人员想贬低重用跨多个站点,软件架构师特洛伊亨特,后者分析简单的密码的用户说,用户的困境是完全可以理解的。
“即使你去低,比方说,使用10个字符,你加一点复杂性和你积累了几个帐户的时候,你要一个的学者还记得他们的时间,”亨特说。
需要强大的密码不同,供应商无法判断密码是否已被重用 。这样的选择是完全在用户的手中,除非供应商以某种方式找到一种方法,强制用户使用密码管理器。
由于这些安全性和可用性之间的折衷,密码可能会砌一段时间来的研究人员。
“我们将要处理密码问题在可预见的未来,”Mitre的威尔说。