我最近經歷了將所有密碼更改為更安全的密碼的煩人過程。我按照現在普遍推薦的方式做了——我把它設為 16 個字元長,包括符號、數字、大寫、小寫等,直到最終產品看起來或多或少像一串隨機的資料。
然後我遇到了以下內容xkcd漫畫,這本質上是告訴我,我最好直接使用幾個單字背對背,因為這將具有 99% 的實際安全性,同時也更容易記住。
所以我的問題是,這部漫畫的正確性如何?
答案1
是和不是。 Security.SE 上對此主題進行了大量討論。讓我們從引用開始傑夫戈德堡的回答:
XKCD 漫畫沒有有效傳達的是單字的選擇必須是(統一)隨機的。如果你要求人類隨機選擇單詞,你就會對具體名詞產生嚴重偏見。這種偏見可以而且將會被利用。
這可能是針對 XKCD 計劃的最重要的一次打擊。人類不擅長隨機想出任何東西[需要引用]。 」我非常喜歡我可愛的狗和貓”當然足夠“長”,但絕不是不可預測的。
(順便說一句,Jeff 也指出 XKCD 方案實際上並不是 Randall Munroe 原創的:
「類似 XKCD」密碼的整體想法至少可以追溯到S/Key 一次性密碼從 20 世紀 80 年代初開始。
)
這得票最高的答案提醒我們一個事實,我們需要知道我們要防禦的是什麼:
關於密碼沒有一致建議的眾多原因之一是這一切都歸結為威脅建模問題。你到底想防禦什麼?
例如:您是否正在嘗試防範專門針對您並了解您的密碼產生系統的攻擊者?或者您只是某個洩漏的資料庫中數百萬用戶之一?您是在防禦基於 GPU 的密碼破解還是只是防禦薄弱的 Web 伺服器?您所在的主機是否感染了惡意軟體?
我認為你應該假設攻擊者知道你產生密碼的確切方法並且只是針對你。 xkcd 漫畫在這兩個範例中都假設生成的所有細節都是已知的。
看看這個簡短的清單。如果您符合此配置文件,那麼 XKCD 方案可能適合您:
1. 密碼僅在一處使用。
2. 您只關心讓誠實的人和腳本小子遠離您的帳戶或遠離您的資料。
3. 嗯...確實沒有3。
說穿了,除非你願意用骰子軟體要產生一個容易記住的密碼,請不要為任何嚴重的事情而煩惱 XKCD 方案。Troy Hunt 前段時間分析過這個。正如他在那篇文章的結尾處所說,「最好的」密碼建議是使用完全隨機的密碼和密碼管理器:
我總共追蹤了一百三十個帳戶。很少有人會讀到這篇文章,並且擁有的帳戶少於 30 個,即使您現在無法立即想到它們(您真的能記住您創建的每個帳戶嗎?)說實話,添加它們全部準備好,看看你能得到什麼,甚至是那些你不經常使用的東西。如果您現在還沒有 30 個帳戶,那麼需要多長時間才能擁有?我最近和60 多歲的父親一起進行了密碼管理練習,而且我沒有技術背景,我知道在最壞的情況下,任何普通在線用戶幾乎肯定會擁有比他們用手指和腳趾都數不過來的帳戶數量,而且肯定更多他們無法運用記憶。
我沒有 130 個帳戶,但我的密碼管理器肯定不只這些。每次我更改工作電腦的密碼時,我都要花大約三週的時間才能記住它。這可能是我實際手動輸入的 2-4 個密碼之一!嘗試將其擴展到 30-100 個帳戶,但根本行不通。
答案2
想要安全的密碼 - 而不僅僅是一個密碼?使用生成器並將您的密碼隨機化為盡可能長和複雜的密碼- 愛德華·斯諾登聲稱美國國家安全局每秒可以嘗試大約十億種可能性,所以您最好做好準備:-)然後使用密碼管理器來追蹤您的所有密碼密碼。