七年前的五月,Intel Security 受到安全研究人員啟發,為了提升大眾對口令安全的認識,把五月的第一個星期四作設定為“World Password Day”。今天,我們就與大家聊一聊“口令”。
1. 身份認證
口令是身份認證的一種方式。無論在網際網路世界或是在區塊鏈系統中,身份認證是保障系統安全的重要手段之一。身份認證是識別和確認資料或者實體真實性的一種行為。按照認證因素來看,一般常用的有以下三類:
- 基於知識(knowledge)的認證:即使用者所知道的。口令以及 PIN 碼和安全問題等都屬於這一類;
- 基於所有權(ownership)的認證:即使用者所擁有的。身份證件、不同型別的各種令牌、數字證書都是屬於此類的認證方式;
- 基於生物學特徵(inherence)的認證:即利用使用者的生物特徵或者行為特徵等進行認證。比如,指紋、聲紋、虹膜、步態以及 DNA 序列等都屬於此類。
2. 口令以及口令安全
我們目前所知的計算機口令,由圖靈獎獲得者 Fernando Corbató 博士在上世紀六十年代改進分時系統的過程中發明。在分時系統中,Fernando 博士用口令來保護個人使用者檔案不被隨意訪問。這也是最早的電腦保安機制之一。和其它認證方式相比,無論是從部署的簡易性和部署成本上看,還是從可撤銷和可更改性等安全方面看,口令都具有一定的優勢。因此,自從網際網路普及以來,口令成為了一種廣泛應用的身份認證方式。
在實際使用中,網際網路應用爆發增長,海量的網際網路服務依賴於口令作為身份認證方式,這又要求使用者需要記憶大量複雜的口令。但從生物學上看,人類不太可能記住很多複雜的口令。這導致了同一個口令在不同服務中重複使用的情況出現以及很多弱口令的存在。這大大降低了口令的強度,影響了口令的安全性。
一方面,口令的安全性受限於使用者選擇口令的強度。口令需要具備一定的強度,即具有較高的資訊熵。但一般來說,在沒有指導的情況下,口令的選擇具有偏向性,會偏好於特定的組成和長度,如常見的姓名生日組合。據知名分析公司 SlashData 等調查,“123456”、“qwerty”以及“password”等都是常見的弱密碼。其中“123456”更是弱密碼排行榜上長居榜首。弱口令幾乎等同於沒有口令,很容易被線上/離線猜測攻擊攻破。
另一方面,口令的安全性受限於服務提供商的安全性。服務提供商一般需要設定使用者口令生成策略用以指導使用者生成具備一定強度的口令。另外,服務提供商對口令如何處理和儲存也是影響安全的重要因素。加鹽儲存以及加密傳輸是保護口令的基礎手段。另外,對口令的脫庫和撞庫攻擊也屢見不鮮。因此,如何防止被脫庫也是服務提供商應該考慮的安全目標。
3. 如何保證口令安全?
對於普通使用者來說,首先避開姓名生日組合、“123456”等弱口令,選擇一定強度的口令。一般來說,挑選一定長度隨機字元值來作為口令會使得口令強度大大增加。另外,在不同網站上應該採用不同的口令。由於隨機口令難以被記憶,使用者可以使用口令管理器來管理口令。
其次,使用者在可能的情況下應採用雙因子認證(2-FA)甚至是多因子認證。雙因子認證在口令認證的基礎上還需要透過另外一種方式的認證,比如 Google Authenticator 的認證令牌、簡訊驗證碼以及郵件驗證碼等,這大大降低了身份認證被攻破的可能性。
4. 結語
雖然今天 FIDO 等組織致力於改進身份認證方式,但目前來看口令是身份認證廣泛應用的一種重要方法。很多時候,使用者會根據服務提供商的不同來決定口令強度,例如在 ONTO 錢包上會採用強度很高的口令,而在 WIFI 設定上可能會選擇“244466666”或者“meiyoukouling”這樣的口令。
希望各位聰明的小夥伴們都能夠提高對口令安全的認識,切實保護數字資產的安全。小夥伴也可以私信我們,講講你們設定過什麼有趣的口令。當然,請不要把保護數字資產的口令告訴我們,我們會假裝看不到的。
