新的研究表明,“123456”毕竟是一个很好的密码。
事实上,来自安全性的唯一凭证在整体密码管理战略中具有重要作用,Microsoft和Carleton大学,加拿大渥太华的研究人员发现了。
而不是伤害安全,正确使用易于记忆,弱凭证鼓励人们在他们定期访问的一些关键网站和在线服务上使用更强大的密码。
“许多网站要求密码,但他们根本不需要安全,”这项研究教授和研究的共同作者,“Paul C. Van Oorschot”。“他们基本上想要获取电子邮件地址联系您,但没有任何东西可以保护。”
如果人们学会仅在雇主网站,网上银行和电子商务网站上存储用户信用卡号码的关键账户,则更有可能采用强密码。要有效,这个小组应该很小。
如果黑客应获得指令凭据,那么持有不敏感信息并且不会呈现威胁的网站。但是,人们需要仔细选择获得那些密码的站点。
研究说:“如果账户被任意分组,则会导致最佳结果,”研究说。
研究所说,遵循包括大写和小写字母,数字和特殊字符的八个字符或更多包含大写和小写字母,数字和特殊字符的密码的标准建议。
学习表现出来尽管警告,人们继续在网站上使用相同的弱密码。2013年,互联网上最常用的密码是“123456”,后跟“密码”。
因此,研究人员争辩说,该行业应该采用实际工作的东西,而不是继续推动失败的密码策略。
“我们的模型产生了详细的结果;它表明任何规定弱密码或重用的策略都会是次优的,”本文说。
研究人员还认为,密码分组策略比密码管理器更安全,密码管理器存储云中的密码及其相应的站点URL,并允许人们使用单个主密码访问信息。
“如果在任何恶意软件受感染的客户端猜测或使用主密码,或者云存储受到损害,那么所有凭证都会丢失,”本文说。
实际上,加州大学伯克利大学的研究人员研究过五个密码经理找到漏洞可以被利用以获得对主密码的访问权限。研究的供应商包括LastPass,RoboForm,My1Login,Passwordbox和ConsureMypassword。
虽然最新研究侧重于个人,但它对业务有影响。
公司正在制作一个网站或公司网络,如果他们要求员工使用难以记住的复杂密码,并且必须每三个月更改,并且必须在Gartner的分析师Avivah Litan表示。
在这些情况下,用户将通过写下密码或将其存储在可能被攻击的数字地址簿中来抵消安全措施。
“您需要在客户方便和安全之间取得平衡,并且除了密码外,衡量余量是令人震惊的,”Litan说。
企业还应有技术到位,监视登录行为和用户活动,以观察指示恶意软件或黑客的异常。
这个故事,“为什么'123456'是一个很棒的密码”最初是发表的CSO 。