几乎每次创建在线账户时,你都会看到所有熟悉的强密码规则。使用大写字母,数字和特殊字符,并使它至少8个字符(或10,或12)。这些要求是为了让黑客更难进入你的账户。然而,卡耐基梅隆大学的研究人员表示,它们并没有让你的密码变得更强。
CMU CyLab可用安全与隐私实验室(CyLab Usable Security and Privacy Laboratory)主任罗莉•克兰诺(Lorrie Cranor)表示,天辰收益她的团队有一种更好的方法,那就是一个仪表,网站可以使用它来提示你设置更安全的密码。当你创建了一个至少10个字符的密码后,计价器就会开始给出建议,比如用斜杠或随机字母分隔常用单词,让你的密码更强。
这些提示设置密码强度计,从其他米,提供估计的密码强度,经常使用颜色。这些建议并不是来自清单,而是针对一些常见的错误,克兰诺的团队在实验室多年的实验中发现,人们在设置密码时经常犯的错误。
实验室发现,许多密码的一个问题是,天辰收益它们通过了所有的安全检查,但仍然很容易被猜出,因为我们大多数人遵循相同的模式。是需要号码?你可能会在最后加上一个“1”。是大写字母吗?你可能会把它作为密码的第一个。和特殊字符?经常感叹号。
CMU的密码测量器将提供加强密码的建议,例如“ILoveYou2!”——符合标准要求。该工具还会根据你输入的内容提供其他建议,比如提醒你不要使用名字,或者建议你在密码中间放置特殊字符。
克拉诺说:“这与你所做的事情有关,而不是随便给点小费。”
在一项实验中,用户在一个系统上创建密码,只需要输入10个字符。然后,系统使用实验室的密码强度计对密码进行评级,并为更强的密码提供量身定制的建议。测试对象能够想出安全的密码,5天后他们还能回忆起来。它比向用户显示预设的规则列表或简单地禁止已知的错误密码(我正在看你的“星球大战”)更好。
Cranor和合著者Joshua Tan, Lujo Bauer和Nicolas Christin将在11月举行的计算机和通信安全ACM会议上展示他们最新的密码发现,这次会议是虚拟的。该团队希望它的工具在未来能被网站制作者采用。
与此同时,克兰诺说,创建和记住安全密码的最好方法是使用密码管理器。这些方法并没有被广泛采用,它们也需要一些权衡。尽管如此,它们允许你为每个账户创建一个随机的、唯一的密码,它们会帮你记住你的密码。