首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

Facebook创办人扎克伯格密码被破,到底什么样的密码最安全?

广告

NYISSUE | 杂志

误导全世界十余年后,密码教父忏悔了

可能大家都知道,密码设置得很简单容易被盗号,比如开办了网络帝国Facebook的马克·扎克伯格。

黑客组织“OurMine”破解了扎克伯格的社群密码,并在他的Twitter上Po文: “嘿,我们入侵了你的Twitter、领英、Pinterest、Facebook账号,我们只是在测试你的密码安全性,请直接传简讯和我们联系”。当然,扎克伯格发现后,已经把这条状态删除了。

这个黑客组织还爆出了扎克伯格的社群密码,竟然是“dadada”这么简单的六个字母。

很多人会觉得,如果扎克伯格把密码设置得复杂一些,比如加入一些数字和大写字母,就不会被盗号了。但事实是不是这样呢?

密码教父的忏悔

2003年,时任美国国家标准与技术研究院中层主管的比尔﹒伯尔(Bill Burr)撰写了《NIST特别出版物800-63,附录A》(NIST Special Publication 800-63. Appendix A)。这份指南长达8页,建议用奇怪的字符、大写字母和数字拼凑密码,并且定期更换,保障账户安全。

绝大多数机构也都会在你设置账户的时候建议你这么做。这份文件兼职成了密码设置的圣经,众多政府机关、学术机构和大型企业在制定密码规则时纷纷效仿。

但是就是这本“密码圣经”的作者伯尔居然表示,他所说的都错了。

“对以前写的很多东西,我现在感到很遗憾。”伯尔说,他今年72岁,已经退休。

伯尔表示,其实这份文件中的大多建议都是错的。90天换一次密码?多数人做的更改微乎其微,很容易猜到。把密码从Pa55word!1改成Pa55word!2,黑客破解简直易如反掌。还有问题的一条是:密码里要有字母、数字、大写字母和特殊字符(感叹号或者问号之类的)──输入起来简直反人性。

密码圣经的来源

伯尔曾在越战时期为陆军的大型电脑编程,他编写指南时,本想参考现实生活中用户使用的密码数据。但2003年时这类资料很少,而NIST这份指南急于出版,时间很紧迫。

他征询过NIST的计算机管理员,想看看同事们用了什么密码,结果对方以隐私为由拒绝。

“他们特别诧异我居然会提出这么个要求。”伯尔说。

没了计算机密码安全的真实数据作为参考,伯尔只能依靠20世纪80年代中期出版的一本白皮书,那时消费者还没开始网上购物。

在那个年代起草这份指南,他已尽其所能。

“到最后,对于大多数人来说,这些规则还是太复杂,太难懂了,而且真相是,我当时并没有找到症结所在。”

什么样的密码最安全?

广告

在今天,密码研究人员表示,对于黑客来说,四个单词组成的长密码要比奇怪混乱的短密码难破解,因为一大堆字母就是要比很少的字母、字符和数字难处理。

电脑安全专家也证实,黑客想破解“correct horse battery staple”(正确的 马 电池 订书钉)这个密码,得花550年;而破解典型的伯尔法则式密码Tr0ub4dor&3,只需3天。

2017年,NIST发布了《特别出版物800-63》的彻底重修版,删掉了许多严苛的密码戒律。负责新版密码安全草案的是NIST的标准与技术顾问保罗﹒格拉西(Paul Grassi),项目进行了两年,他说一开始团队成员都以为只要稍作编辑即可。

新版本里删去了密码有效期的说法,也不再要求混合特殊字符。以上规则对账户安全并无用处──它们实际上还会让密码很不实用。较长但好记的短语胜过乱七八糟的字符,而且只有怀疑密码被盗时,才需要强制用户修改密码。

广告

文章,编辑 LX

图片来源于网络,版权归原作者所有

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20180227G02JE100?refer=cp_1026
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

扫码

添加站长 进交流群

领取专属 10元无门槛券

私享最新 技术干货

扫码加入开发者社群
领券