当您打开计算机或解锁电话,将卡插入ATM或在社交网络中输入页面时,系统会询问您什么? 系统需要您的密码。 在我们这个时代,我们自己承担大部分责任的数据保护阶段非常普遍。 密码越复杂,提取密码就越困难,因此攻击者获取您的数据就越困难。 但是,并非所有用户都以所有必要的认真态度来处理密码。 今天我们将讨论探索密码短语。 为什么密码短语对我们来说不是一个常数,过去这种系统有哪些变体,科学家如何建议推广这种保护变体? 今天,我们将了解更多。 走吧
背景知识轶事“出生日期”,“结婚日”,“喜爱的书中角色的名字”等。 长期以来,它们是最常用的密码,但肯定不是最困难的密码。
轻微的抒情偏离。 我最近看了电影《守护者》(2009)。 在电影快要结束时,主要角色进入小人办公室以获取信息。 但是访问计算机受密码保护。 怎么办 转身离开? 不,这只是一个密码,可能会更容易。
注意:此办公室位于金字塔公司(Pyramid Corporation)的大楼内,在如此重要的个人电脑旁边的反派桌子上,有关于埃及,当地神灵和法老的书籍。
电影《守护者》(2009)中的那一刻因此,英雄开始使用科学戳的方法来获取密码,但无济于事。 然后他看着那些书,看到拉美西斯二世。 当然,那是密码。 英雄获得信息,情节继续发展。 现在的问题是-图片最主要的对手Adrian Weidt是否被认为是地球上最聪明的人,是否想出了一个更复杂的密码而不将其直接留在桌面上? 所有这些都是电影惯例,但这并不能减轻我的困惑。
令人遗憾的是,但事实是,许多人所使用的密码正是这种复杂程度。 尽管有一些登录系统可以“强制”用户创建满足某些要求的密码:至少8个字符,至少1个大写字母,至少1位数字等。 但是,您必须承认watson和Watson99没什么不同。 有些用户非常重视自己的数据,因此乍一看他们的密码可能是一个混乱的字符集。 我有一位同事,密码由15到20个字符组成,他打了个字,好像他想在键盘上弹奏“在山王的山洞里”。
通过歌词和有趣的示例,让我们开始做生意。
有一个密码“ spwaop”,它比出生日期更难记,但不那么容易。 这样的密码可以更好地保护数据,因为当破解者尝试所有可能的选项时,它们会通过选择方法使黑客处理过程复杂化。 举一个简化的例子,让我们取三位数字-123。假设密码由这些数字组成,但是顺序是什么? 选项:123、132、213、231、312、321。共有6个选项,因此,选择合适的选项并不困难。 如果您添加一位数字-1 2 3 4,那么将有24个选项,这会使选择过程复杂化。
但是,有一个问题-人为因素。 研究人员发现,复杂密码的传播受到用户自身的抑制。 许多人认为这样的密码太难记了。 如果您的数据对您很重要,请记住一些6到8个字符-您说的是对的。 但是,没有反对群众意见的争论。 因此,科学家决定开发一种方法,该方法成为登录系统的基础,允许一个人创建复杂的密码,最重要的是,它有助于记住该密码。
我本人对此研究持怀疑态度。 可以将它们视为浪费时间和资源,但是任何研究,任何实验或经验都有权存在。 而且,由于放弃了对“太懒记密码”问题的模棱两可的态度,令人好奇的是,研究人员开发的系统本身是如何工作的。
在此发展之前,有许多前辈的密码短语系统已实现了某种程度的实现,但由于其复杂性,安全性低,创建密码的过程很奇怪等,在用户中并不受欢迎。
例如,有一个Diceware系统(1995年)。 系统词典中有7776个单词构成了密码短语,但并非全部都是英语。 选择原则是基于用户对骰子的使用。 这是来自
Diceware官方网站的示例:
假设您想要一个6字的密码,我们建议大多数用户使用该密码。 您将需要掷出6x5骰子,即 30次。 假设出现以下数字:
1,6,6,6,5,1,5,6,5,5,5,6,3,2,2,3,5,6,1,1,6,6,5,2,2,4, 6、4、3、2、6
现在,将所有数字以5个抛出的组写出:
1 6 6 6 5
1 5 6 5 3
5 6 3 2 2
3 5 6 1 6
6 5 2 2 4
6 4 3 2 6
将收到的6个数字与对应于列表中单词的数字进行比较,您将收到:
1 6 6 6 5裂
1 5 6 5 3凸轮
5 6 3 2 2主教座堂
3 5 6 1 6花边
6 5 2 2 4年
6 4 3 2 6炒锅
您的密码短语: 半裂凸轮主教拉西·y炒锅
这种生成密码的方法有什么问题? 显然,很少有人愿意扔骰子,写下来然后搜索并与单词进行比较以简单地为自己创建密码。 第二个问题是单词本身。 从上面的示例中,您可以理解这不是一个短语,而只是一组随机的单词。 结果,您可以记住这一点,但并非没有努力。 甚至在Diceware系统问世后进行的一项调查显示,用户对它的评分为5.71分(满分5分)。
另一项研究表明,密码短语更容易记住,不是通过减少单词中的单词数量,而是通过减少单词本身。 俗话说,如果您需要符号“ C”的类似物,那么为什么也需要“逆时针”这个词,如果简单的“ cat”也适用。 这意味着3个长字的密码和6个短字的密码具有相同的难度,但是后者更容易记住。
尽管存在所有缺点,但Diceware在某些领域仍然很受欢迎,并且今天仍在使用。
现代研究人员的主要任务是创建一个系统,该系统将结合其前辈的所有优点,但要避免他们的问题和缺点。
系统基础为了创建一个新系统,决定结合前任的某些功能:
- 专业的词典和短语模板;
- 用户创建助记符*图片;
- 掩盖输入的数据。
助记符* -增加一种或另一种信息的记忆程度的各种方法和技术。
首先,使用了
VOA特殊英语单词列表字典,该字典创建于1959年。 它针对的不是英语为母语的人。
单词的简单性并不能保证用户会喜欢这些单词。 但是,提供无限生成短语的机会意味着降低安全性。 因此,该程序仅向用户提供4个随机短语,他可以从中选择自己喜欢的短语。
图片编号1:该程序为用户提供了一个短语,每个单词的首字母对应于用户密码中的字符。另一个小而有用的实现是解释性字典。 为了确保用户完全理解密码短语中的单词的含义,将其悬停在密码短语上时会进行解释。
从助记符的角度来看,最不寻常但非常有效的是引入了简单的图形编辑器。 用户可以根据收到的密码创建一张图片,以帮助他记住密码。 我同意,这非常不合常规。 但是,任何可视化过程,尤其是如果用户自己创建了短语的可视化等效项,都将可以更好地记住密码。
图片编号2:密码短语的图形表示。 同意,如果仅显示图片,则几乎无法重新创建密码本身。 只有知道密码的人才能这样做。
图片#3:密码屏蔽。伪装密码主要是必要的,以防止可能看到您如何创建密码的随机见证人。 最常见的方式是“
* ”(
星号 ),它出现在密码字段中,而不是字符本身。 在同一项研究中,系统根据“隐藏在显眼位置”的原理引入了另一种伪装选项。 从第3张图片中可以看到,这里有一个密码列表,其中只有一个是正确的,其余都是伪造的。 统计数据表明,此方法并不比标准星号掩盖(****)差。
有一个小功能。 虚假密码由该密码中未使用的列表词组成。 当攻击者尝试随机输入密码时,系统会识别出尝试输入“伪造”的内容,并通过发送日志和有关试图侵入完整用户的警告来阻止输入。 问题是-如果用户只是犯了错怎么办? 事实是,输入密码错误和输入错误密码的尝试极不可能同时发生。 不幸的是,研究人员没有更准确,更合理的解释。 输入错误密码的初始字符时,系统可能不会阻止,而只有输入整个密码时,系统才会阻止。 但这只是我的猜测。
研究人员还为系统添加了错误修复程序。 由于字典不是很大,因此可以正确执行此类更正,并且在输入密码短语时不会导致不正确。 同时,纠错脚本可以使用真实密码和错误密码,从而可以保持系统安全级别。
系统要求系统的复杂度设置为40位熵。 为了提高安全性,当原始弱密码通过某种算法运行时就足以应用密钥扩展技术,该算法会使密码的大小对于强力而言过大(选项的完整枚举)。
信息熵*是对系统不确定性或不可预测性的度量。
密码短语系统有4个选项。 以下是屏幕快照以及每个屏幕快照的说明。
选项一:
用户生成的短语必须至少包含24个字符(包括空格)。 没有其他要求。 不使用助记符,并且密码屏蔽是标准的(******)。
24个字符= 1个字符x 4位+ 7个字符x 2位+ 12个字符x 1.5位+ 4个字符x 1位= 40.0位的熵。
方案二:
该短语由系统生成,由3个单词组成,这些单词是从多个列表(Diceware8k,Beale的备用列表和1Password扩展英语Diceware列表)中随机选择的。 单词总数为10326。不使用助记符,并且密码屏蔽是标准的(******)。
3个单词x对数
2 10326个单词变体= 40.0位的熵。
方案三:
该短语是从系统提出的四个选项中选择的,每个选项由4个单词组成。 作为基础单词,使用了特殊英语列表,共1450个单词。 所用单词的解释。 可以在编辑器中创建助记符图像,这些图像会在登录期间显示。 包括错误修复。 密码屏蔽使用伪造方法完成。
4个单词x log
2 1450个单词的变体-log
2 4个短语的变体= 40.0位的熵。
方案四:
该短语由系统生成,由6个单词组成。 可以在编辑器中创建助记符图像,这些图像会在登录期间显示。 包括错误修复。 密码屏蔽使用伪造方法完成。
log
2 (151 x 151 x 155 x 61 x 78 x 66)可能的组合= 40.0位的熵。
因此,该系统在理论上已经准备就绪。 现在您需要在实践中进行检查。
实际测试为了进行测试,研究人员聚集了一组人-52人(28位男性和24位女性),年龄从20岁到61岁不等。
该系统的4个变体通过
拉丁方*分配给参与者。
拉丁方* -表格中填充了集合中的元素,因此在每一行和每一列中都不会重复这些元素。
在简短了解了研究目的之后,每个参与者都必须在5分钟内创建一个密码短语和助记符图像。 之后,参与者填写了
NASA-TLX和
SUS问卷。
<b> NASA-TLX </ b>-NASA任务负荷指数。 (调查表示例) <b> SUS </ b>-系统可用性规模。 (调查表示例) 下一步是使用生成的密码短语。 参与者必须先登录到他们先前创建的4个帐户(登录系统的4个变体)。 尝试次数限制为五次。 每次输入后,参与者再次填写NASA-TLX和SUS问卷。 他们还必须评估安全性和特定版本入口系统的整体质量。
一周后,被禁止记录密码的参与者返回帐户,重新进入舞台。
参与者还扮演了偷窥者的角色。 在为通行密码创建助记符图片的过程中,允许他们互相监视。 之后,他们应该尝试猜测密码短语本身。
测试结果和总结对测试结果的分析表明,进入系统的最后两个选项是最有效的。 82%的科目成功完成了基于特殊英语的重新输入帐户的步骤。 为了进行比较:当使用用户自己创建密码短语的系统时,只有50%成功通过了同一阶段。 对于Diceware10k,这个数字甚至更糟-仅34%。 新系统有效性的如此重大飞跃与通过伪造方法使用错字校正和掩盖功能有关。
上图显示了特定系统的性能指标是如何变化的:浅蓝色-创建帐户后首次登录系统,深蓝色-第二次登录帐户。 正如我们所看到的,最好的结果是特殊英语和短语作为整体句子。
但是,鉴于我们正在谈论旨在保护数据的系统,因此82%的时代并不是我们这个时代的终极梦想。 研究人员声称,他们故意高估了完成主题作业的难度,而实际上一切都会更简单。 首先,受试者必须连续创建4个密码短语,并在有或没有助记符帮助的情况下记住它们。 写下创建的密码是不可能的,也是没有必要的,因为受试者获得的奖励(20美元的礼品卡)不是为了获得最佳结果,而是为了参与本身。 我同意这些措施不是很明确,不能保证测试的参与者之一不会仅仅为了显示最佳结果而学习密码。 当然,您可以将所有参与者锁定在玻璃房中而不能访问外界,然后在一周后检查系统如何帮助他们记住密码。 但是,当然,即使出于实验的纯洁性,这也不是很人道。
无论如何,科学家将在将来考虑上述误差因素进行测试,以确认他们的“实验室”结果只会在实际条件下增加。 他们非常确定自己的想法。
关于“间谍活动”,系统所有变体的结果差异不大。 不出所料,用星号隐藏密码和使用短语-phony是防止偷窥的有效措施。
对计算机黑客攻击的防护程度的测量表明,带有用户密码短语的系统在完成此任务方面比其他任何人都差。 平均而言,破解密码短语需要224次搜索尝试,这比该系统的其他版本少1000次尝试。 作为密码复杂性的熵指示符比其他选项少10位。
针对黑客(人员,而非程序)的安全性分析显示出意外结果。 在这种情况下,事实证明,用户密码短语和Diceware10k的变种在以前的指标中落后于其他人。 在这里会弹出助记符助手的否定部分。 用户为提高密码记忆性而创建的图片,帮助破解者找到了正确的密码,并因此对帐户进行了未经授权的访问。 但是,脆弱性系数不是很大(从.4到.6)。 换句话说,如果攻击者在创建受星号保护的密码的过程中进行间谍监视,那么与仅从助记符映像中将其击退相比,黑客更容易入侵帐户。
该图显示了受试者如何评估输入系统的4个选项。 最好的选择是使用逻辑句子。 最糟糕的选择是当受试者自己创建短语时。 这是非常了不起的,因为如果可以这样说的话,可以假设为您的品味创建一个短语会增加记忆的程度。 但是,系统的说明(在这种情况下为系统生成的短语)会更好地记住。 预期会出现完全相反的评估,因为根据先前收集的统计数据,大多数受访者认为系统本身生成密码是一件复杂而令人讨厌的事情。
研究人员认为,由于助记符助手和用于纠正拼写错误的脚本,他们的系统才能够避免出现这种情况。为了更详细地了解这项研究的细节,我建议阅读科学家的报告。结语尽管研究人员和开发人员不同团体进行了所有尝试,但尚未概述密码短语的大规模引入。他们认为,这在很大程度上是由于此类系统的技术实施。他们建议给用户机会独立创建密码短语意味着牺牲安全性,因为人为因素极大地影响了单词和短语本身的选择。换句话说,许多用户继续创建简单密码,密码短语密码也同样遭受这种趋势的困扰。如果系统生成密码短语,并且在创建保护阶段与用户之间的关系已经结束,这也会对大多数人造成拒绝。不仅需要开发新的方法来提高密码安全性,更改其形式,引入新的创建条件等,还可以帮助用户将此密码保存在自己的脑海中。夸张的例子:新闻中曾经有一个故事,讲述一个不幸的人的信用卡被盗的故事。她所有的积蓄都被撤出了,只是因为他在上面写了个人密码。是的,记住4位数字和6个单词的句子是完全不同的事情,但是有着共同的开始。但是,上面的研究可能对您来说似乎很荒谬或根本不合适,并且它具有存在的权利。我个人是通过记忆力有问题的人的角度来考虑这一问题的,令人惊讶的是,研究人员并未在他们的工作中提及。确实,许多人患有记忆障碍,必须有一些方法来保存和重建其意识中隐藏的信息。这就是为什么我认为进入系统的助记符助手虽然不是期望的最高功能,但还是一种非常有趣甚至有趣的方法。感谢您与我们在一起。 你喜欢我们的文章吗? 想看更多有趣的资料吗? 通过下订单或将其推荐给您的朋友来支持我们,
为我们为您发明的入门级服务器的独特模拟,为Habr用户提供
30%的折扣: 关于VPS(KVM)E5-2650 v4(6核)的全部真相10GB DDR4 240GB SSD 1Gbps从$ 20还是如何划分服务器? (RAID1和RAID10提供选件,最多24个内核和最大40GB DDR4)。
购买六个月的新Dell R630
可免费获得3个月
-2个Intel Deca-Core Xeon E5-2630 v4 / 128GB DDR4 / 4x1TB HDD或2x240GB SSD / 1Gbps 10 TB-每月99.33美元起 ,仅直到8月底,订购可以在
这里 。
戴尔R730xd便宜2倍? 仅
在荷兰和美国,我们有
2台Intel Dodeca-Core Xeon E5-2650v4 128GB DDR4 6x480GB SSD 1Gbps 100电视(249美元起) ! 阅读有关
如何构建基础架构大厦的信息。 使用价格为9000欧元的Dell R730xd E5-2650 v4服务器的上等课程?