你可能會認為,亞馬遜、Reddit、維基百科和其他知名網站會告訴你,“password1”和“hunter2”是糟糕的密碼。然而實際上這些網站並未這樣做。近期的一個研究專案跟蹤了過去 11 年頂級網站的密碼設定規則。結果表明,大部分網站只提供最基本的密碼限制,沒有采取更多措施去幫助使用者。
普利茅斯大學的史蒂芬·弗內爾(Steven Furnell)於 2007 年首次對網站的密碼設定規則進行了調查。他於 2011 年和 2014 年重複了這項調查。而最新一次調查於本週完成。那麼他的結論是什麼?
令人失望的是,2018 年的總體情況與 2007 年基本相似。在中間的這些年裡,關於什麼樣的密碼是失敗的密碼,以及我們使用密碼的正確方式是什麼,已經有過很多報導。然而,網站並沒有做出太多改進,鼓勵或強制使用者採取正確的做法。
這份 大學研究報告 指出,谷歌、微軟和雅虎在密碼設定規則方面做法最好,而亞馬遜、Reddit 和維基百科的做法最差勁。不過,報告並未公佈更多細節。幸運的是,我拿到了這篇論文,可以好好列一個紅黑榜。
英文世界排名前 10 的網站(根據 Alexa 的資料來排序,在這幾年中排名曾發生變化)被納入研究範圍,具體包括谷歌、Facebook、維基百科、Reddit、雅虎、亞馬遜、Twitter、Instagram、微軟 Live 和 Netflix。
最糟糕的失敗無疑是亞馬遜。亞馬遜沒有提供適當的密碼控制,但網站提供的是資金直接相關、且極具個人化的服務。維基百科和 Reddit 的密碼限制比亞馬遜還要差,但它們沒有亞馬遜儲存那麼多重要資料。如果亞馬遜、維基百科和 Reddit 的帳戶同時被黑客攻擊,那麼亞馬遜的危險程度會高很多。
亞馬遜實際上接受了弗內爾輸入的所有密碼,包括重複使用者名稱、使用者的真實姓名,以及一直以來的經典密碼“password”。(Netflix 和 Reddit 也接受用“password”做密碼,但維基百科不允許。不過,維基百科接受使用者用單個字元做密碼,比如“b”。)
其他網站都做出了限制,例如要求密碼包含多種字元型別,拒絕常見密碼等等,但這些網站很少提前告知使用者。由於一開始沒有提供反饋,因此使用者在建立賬戶時會先輸入自己想要的密碼,隨後才被告知密碼必須更長,或是不能包含某個特定片語(使用者名稱字、生日之類的),或是必須包含特殊字元。對於新使用者註冊和修改密碼兩種情況,不同網站還有不同的密碼要求。
那麼為什麼不在一開始就做好說明?為什麼不解釋這樣做的背後原因?完全可以在填寫密碼的下方直接告知使用者,“因為某種原因,我們需要你怎麼怎麼做”。可惜的是,所有頂級網站都沒有這樣做。
在這篇沉悶的報告中,有一點值得關注,即雙重認證正逐漸流行。在某種程度上,雙重認證甚至比強密碼更安全。有些網站的密碼策略很糟糕,但也支援雙重認證(例如亞馬遜)。可喜的是,大部分網站都著手從簡訊碼驗證轉移至更安全的身份驗證應用。
最後的結論與十年前幾乎差不多:
我們的基本論點與我們之前的研究和其他人的解決一樣,為使用者提供安全的服務,同時提供相應的支援。密碼是很好的切入點,因為大部分人並不善於使用密碼。然而,這一點依然被習慣性忽視。所以我們會繼續批評網站對密碼保護的無視,也會繼續批評使用者的無知。
雙重認證正在崛起,但是:
使用者可能需要更多鼓勵,或者說責任感,來使用這個功能。否則,就像密碼本身一樣,它們可以帶來安全的保護,實際上並不安全。
換句話說,不要再討論密碼有多麼糟糕,而是應該做點什麼。
自 techcrunch中文網