|
||||
微軟研究院的兩位研究人員Stuart Schechter和Cormac Herley日前共同發表了一份論文稱,根據他們的研究,網站要求用戶使用復雜的密碼,對提昇整體安全性並沒有任何幫助。
該報告還表示,實際上只有那些不擔心競爭問題的機構纔傾向於強制提高密碼復雜性標准,比如政府網站。因為無懼用戶因怕麻煩而投奔競爭對手,這些機構可以放心大膽的強制要求用戶使用比如字母數字交叉,區分大小寫的復雜密碼。但研究證實『用戶賬戶價值、受攻擊數量和網站強制密碼復雜度之間並無直接聯系』。
很多網站禁止使用連續數字、相同字母、生日、用戶名等簡單密碼,因為黑客使用『字典式攻擊』即窮舉的方式,可以很容易的破解這些密碼。為應對此類攻擊,網站往往會限制同一賬戶的密碼嘗試次數。不過黑客也有辦法,對於那些用戶成千上萬的網站,他們不會在一個帳號上進行多次嘗試,而是會使用最常見密碼連續嘗試數萬個賬戶。
基於這種狀況,該論文提出了一種新的安全機制。網站不需要限制用戶使用簡單密碼,只需要限制不同用戶使用相同密碼的次數就可以了。一旦某個密碼已經被一定數量的用戶使用,此後就將不再允許其他人使用。
這樣一來,由於沒有任何一個密碼在用戶中廣泛使用,將大大增加黑客字典式攻擊的難度,效果並不比禁用簡單密碼差。當然,這種方法只適用於擁有極大量用戶的網站,如微軟Hotmail等。