Lentis/password1234: 网络安全与密码文化

密码 是一种常见的用户身份验证方法，允许个人独占访问资源。密码最常见的形式是字母数字字符的字符串，通常在 8 到 12 个字符之间，并且可能包含一些特殊符号，例如井号 (#) 或星号 (*)。

在数字时代之前，密码在古埃及就被用来加密坟墓和贵重文物。当埃及人去世时，他们会与亡灵书一起埋葬，亡灵书包含召唤神灵的咒语或密码，以帮助死者克服来世遇到的所有障碍^[1]。

第一个数字密码可以追溯到 MIT 兼容分时系统 (CTSS)^[2]。CTSS 的独特之处在于它允许多个用户利用 IBM 7094 大型机的处理能力。CTSS 也被称为第一个“漏洞”，当时的研究生 Allan Scherr 利用 CTSS 的一项功能来获得更长的计算资源访问时间^[2]。

虽然用户身份验证自计算机的早期就已经存在^[2]，但身份验证的方式并没有改变多少。密码安全方面的一些发展包括使用

• 安全问题
  • 例如，"您母亲的娘家姓是什么？"
• 挑战-应答
  • 例如，发出多个密码，每个密码都有一个唯一的标识符，例如 p1=pv4OAFx1Q2cQ，p2=DsYfX3Ke。
• 双重身份验证
  • 例如，需要银行卡和记忆的 PIN 码。
• 零知识证明

心脏滴血 (2014 年 4 月)

密码的实施是为了防止未经授权的访问个人资源。为了有效，密码需要复杂、难以猜测，并且需要定期更新。然而，对于真实用户来说，密码可能很麻烦。通过要求在用户进行他们想要的任务之前采取额外的步骤，身份验证成为了一种负担，并且可能导致用户为了方便而牺牲安全性。

当个人创建密码时，他们通常会遵循某些既定的指南。最常见的指南是密码长度，通常至少为 8 个字符。鼓励用户通过使用各种不同的字符来增加复杂性，例如大小写字母、数字和符号。为了防止其他人猜测他们的密码，建议用户不要使用个人信息。^[3]

当指南变得过于严格时，就会出现困难。一些网站要求密码至少包含一个数字或符号，但其他网站禁止使用它们，从而增加了混乱。例如，AT&T 不允许使用除连字符 (-) 或下划线 (_) 以外的符号。^[4] 这些限制大多数源于 遗留软件系统，这些系统以不同的方式处理密码，无法处理某些特殊字符。^[5] 这种服务端负担转移给了用户。

用户在创建和记住密码时必须考虑几个因素。密码需要足够复杂，以至于无法被决心入侵者破解，但也不能过于复杂以至于用户无法记住它。这提出了一个独特的挑战，而 密码心理学 考察了技术安全和社会限制的交叉点。密码需要在抵御未经授权访问的能力与用户记忆的简易性之间取得平衡。

密码最常见的问题是用户所承受的记忆负担。随机的字母、数字和符号字符串可以有效抵御使用字典的 暴力攻击，但它们会创建难以记忆的密码。安全专家开始理解这一挑战，并相应地修改指南。虽然鼓励他们不要使用个人信息，但有些网站建议使用常见的随机词语，用符号替换一些字母，可以创建强密码。^[6] 常见的词语有助于记忆，而符号替换增加了复杂性。

过于复杂的密码的反复结果是用户忘记它，导致网站在其登录部分实施 "忘记密码" 组件。找回是用户必须克服的另一个障碍，加剧了忘记密码带来的挫折感。减轻这种情况的一种方法是经常更改密码，从而减少忘记密码的可能性，尤其是在不常访问的网站上。^[6]

用户可以采用不同的方法来应对记忆负担。对于工作站登录，用户有时会写下他们的密码并将其贴在他们的机器上。^[7] 有些人对多个网站使用同一个密码，这意味着如果一个网站被入侵，用户的其他账户也处于危险之中。^[8] 然而，有时密码重复使用是可以接受的，只要重复使用的密码用于低风险账户，这样就可以将精力集中在保护高风险账户上。^[9]

目前许多身份验证技术的进步都集中在简化用户的身份验证流程上。许多尝试旨在通过使密码更容易使用或记忆来降低密码文化的复杂性。LastPass 等密码整合器，Google 等公司实施的 OAuth 系统以及 Yubikey 等物理密码替代方案都是行业试图减少密码对消费者造成问题的尝试。

密码管理器使用软件将用户的所有密码存储为数据库，然后将数据库存储在本地或云中。一旦密码被添加到数据库中，用户只需要告诉软件检索它，就可以使用长而复杂的密码，通常无法记忆。该服务允许用户为每个帐户使用不同的密码，消除密码重复使用的风险。为了增加额外的安全层，访问数据库通常需要用户输入密码，这意味着用户理想情况下只需要记住一个密码就可以登录到他们所有不同的帐户。

密码管理器的缺点是，许多管理器将数据存储在云中，这意味着存在数据库被入侵的风险，并且您的所有密码都可能可用。此外，如果用户创建了几个长而复杂的密码，几乎不可能在没有直接访问您的数据库软件的情况下登录到大多数帐户，这意味着您需要互联网访问权限，并且只能在您自己的设备上登录。

密码整合软件的主要示例包括

• LastPass：跨平台，云保存的密码数据库，可以通过 Web 界面或各种 aps 和插件（取决于设备）访问。
• KeePass：跨平台（在移动设备上不可用），本地存储的密码数据库
• Dashlane：跨平台，云保存（可选）的密码数据库

OAuth 是一种系统，通过该系统，网站可以允许用户使用不同的服务登录，最值得注意的是 Google 或 Facebook^[10]。用户登录到他们希望使用的服务，然后该服务向新网站提供请求的信息，从而无需用户创建单独的帐户。这些系统通常由拥有众多用户和高安全性的大公司提供，让用户通过永远不必在新网站上创建新帐户而获得额外的安全感。

该系统最显著的负面影响是，如果您的主要帐户被盗，该用户将可以访问您可能保存信息的其他网站，或者他们可以使用该系统在其他网站上冒充您^[11]。

为用户提供 OAuth 系统的最知名公司包括

• Facebook
• Google
• Windows Live
• GitHub

本章中介绍了两种主要类型的替代方案，生物识别和物理硬件替代方案。生物识别密码替代方案更加复杂，但在技术上更难实现，而物理硬件替代方案使用必须随身携带的设备^[12]。

生物识别

生物识别替代方案使用生物特征来验证用户在各种网站上的身份。在许多情况下，这些属性包括指纹或虹膜扫描等，这些被认为对每个人都是独一无二的。虽然虹膜扫描尚未用于许多商用产品，但指纹扫描仪现在已出现在手机中，并用作额外的安全层^[13]。生物识别安全的一些更独特的方法包括 Nymi，这是一种手环，它声称可以读取用户的心律来识别他们^[14]。

物理安全密钥

物理硬件替代方案是用户随身携带的设备，通常创建不可猜测的一次性密码。Yubico 的 Yubikey 是一个流行的示例，它是一个 USB 记忆棒，用户插入后会生成密码。

物理硬件替代方案的主要负面方面是，用户必须随身携带该设备才能登录，如果设备被盗，那么小偷将可以访问所有使用该设备进行身份验证的用户的帐户^[12]。生物识别识别通常更安全，但从提供者的角度来看更难实现，并且可能会过度敏感或很容易被欺骗，具体取决于创建者设置的特定级别^[12]。与密码管理器和 OAuth 相比，密码替代方案是三者中最不发达的，但理论上提供了最大的安全性，因为实际上没有可以猜测或泄露的“密码”，只有一个物理设备，这更容易保护。

一些团体建议将密码、生物识别和物理安全系统结合起来，这样即使单个系统丢失也不会构成完全的安全漏洞。一个例子是双因素身份验证。Google 使用 Google Authenticator 的形式，该系统在用户请求时生成密码，并且密码只能在单独的设备上获取，通常是智能手机，并且只在短时间内有效（通常在一分钟内）。这通常与标准密码相结合，使其兼具基于密码的安全性，以及物理替代方案^[12]。

现代密码选择模式可以看出，人们通常更喜欢便利而不是安全，并且如果可以选择，他们会选择便利的道路。创建密码替代方案的团体和公司认识到这一点，并试图使当今存在的密码系统更方便使用，或者试图用更方便的系统来替换此系统。所有这些对现状的调整和改变都是为了实现“便捷安全”的目标，在这种目标中，由于到位系统的缘故，在线保持安全需要很少的努力。

1. ↑ 非洲思想牛津百科全书
2. ↑ ^{a b c} http://ieeexplore.ieee.org/stamp/stamp.jsp?tp=&arnumber=145324&tag=1
3. ↑ Windows：创建强密码和密码短语的技巧。 http://windows.microsoft.com/en-us/windows7/tips-for-creating-strong-passwords-and-passphrases
4. ↑ AT&T：密码提示和要求。 https://www.att.com/OLAM_PROD_CMS/English/staticContent/html/help_passwd_restrictions_cms.html
5. ↑ Stack Exchange，安全：http://security.stackexchange.com/questions/1534/why-do-some-websites-and-programs-restrict-password-characteristics
6. ↑ ^{a b} [Google：创建强密码。 https://support.google.com/accounts/answer/32040?hl=en]
7. ↑ 福布斯：密码的问题。 http://www.forbes.com/sites/tomkemp/2011/07/25/the-problems-with-passwords/
8. ↑ PCWorld：密码重复使用非常普遍，研究表明。 http://www.pcworld.com/article/219303/password_use_very_common_research_shows.html
9. ↑ 独立报：微软：'重复使用旧密码比创建新密码更好'。 http://www.independent.co.uk/life-style/gadgets-and-tech/news/microsoft-tells-internet-users-that-they-are-better-off-reusing-old-passwords-than-creating-new-ones-9610324.html
10. ↑ https://oauth.ac.cn/2/
11. ↑ http://www.socialtechnologyreview.com/articles/oauth-pros-and-cons-oauth
12. ↑ ^{a b c d} O'Gorman, L. (2003). Comparing passwords, tokens, and biometrics for user authentication. Proceedings of the IEEE, 91(12), 2021-2040.
13. ↑ http://www.techradar.com/us/news/phone-and-communications/mobile-phones/your-move-apple-samsung-opens-up-its-fingerprint-scanner-to-all-apps-1229280
14. ↑ http://www.nymi.com/the-nymi-band/