最后:有科学依据的可用且安全的密码策略

2020-11-08 12:59:01

经过近十年的研究,卡内基梅隆大学(Carnegie Mellon)CyLab安全与隐私研究所(CyLab Security And Privacy Institute)的密码研究小组开发出了一种在安全性和可用性之间保持平衡的密码政策--这是一项有硬科学支持的政策。

忘掉所有关于大小写字母、数字和符号的规则;你的密码只需要至少12个字符,而且需要通过研究人员开发的实时强度测试。

这项研究将在下个月的ACM计算机和通信安全会议上公布,该会议将在网上举行。

我们开发的策略允许用户创建更容易记忆和更安全的密码……。

Lorrie Cranor,CyLab主任。

CyLab主任、软件研究所(ISR)和工程与公共政策系(EPP)教授洛里·克兰诺(Lorrie Cranor)表示:“我们开发的政策允许用户创建更容易记忆、更安全的密码,以抵御复杂的攻击者。”“有趣的是,我们的数据显示,要求更多的字符类别--大写字母、符号和数字--不会像其他要求那样增加密码强度,而且往往会对密码的可用性产生负面影响。”

2016年,研究人员开发了一款由人工神经网络驱动的密码强度测量仪,它的体积相对较小--只有几百千字节,小到足以编码到网络浏览器中。力量测定仪给用户一个力量评分,并实时提供建议。观看仪表演示。

“这在某种程度上改变了游戏规则,”电气和计算机工程学院教授卢乔·鲍尔说,“…。因为在此之前,没有其他密码计量器能够提供准确的、数据驱动的、实时的反馈,告诉你如何让密码变得更强。

配备了这款最先进的密码仪后,研究人员从一个全新的角度来研究密码策略:密码必须在密码仪上达到一定的阈值分数。这一新的视角让研究人员发现了密码强度和长度之间的一个阈值--这个阈值导致用户创建的密码比普通密码策略下的密码更强、更易用。

为了达到这一发现,研究人员进行了在线实验,评估了最小长度要求、字符级要求、最小强度要求和密码阻止列表的组合,这些列表列出了由于常用而不应该在密码中使用的单词。

在在线实验中,研究参与者被要求在随机分配的密码策略下创建和回忆密码。首先,参与者扮演电子邮件提供商被攻破的角色,需要根据他们指定的策略创建一个新密码。然后,几天后,他们被要求召回他们的密码,以此来衡量密码策略的可用性。

..。最小强度和最小长度为12个字符实现了安全性和可用性之间的良好平衡。

尼古拉斯·克里斯汀,EPP和ISR副教授。

ISR和EPP教授尼古拉斯·克里斯汀(Nicolas Christin)表示:“我们发现,同时要求最小强度和最小12个字符长度的政策在安全性和可用性之间取得了很好的平衡。”

虽然阻止列表和最低强度策略可以产生类似的结果,但最低强度策略可以灵活地配置为所需的安全级别,并且更易于在高安全性设置中与实时需求反馈一起部署。

ISR和CyLab的博士后研究员约书亚·谭(Joshua Tan)表示:“既然我们提供了关于密码政策的具体指导,我们乐观地认为,公司和组织可能会采纳我们的建议。”