[情報] 微軟研究證實使用複雜密碼無益網絡安全

看板AntiVirus (防毒)作者obelisk0114 (追風箏的孩子)時間16年前 (2010/07/23 01:03)推噓3(3推 0噓 8→)

留言11則, 4人參與討論串1/2 (看更多)

來源:http://news.csdn.net/a/20100722/219194.html -------------------------------------------------------------- 據《MIT技術評論》報導，微軟研究院的兩位研究人員Stuart Schechter和Cormac Herley 日前共同發表了一份論文稱，根據他們的研究，網站要求用戶使用複雜的密碼，對提升整體安全性並沒有任何幫助。該報告還表示，實際上只有那些不擔心競爭問題的機構才傾向於強制提高密碼複雜性標準，比如政府網站。因為無懼用戶因怕麻煩而投奔競爭對手，這些機構可以放心大膽的強制要求用戶使用比如字母數字交叉，區分大小寫的複雜密碼。但研究證實“用戶賬戶價值、受攻擊數量和網站強制密碼複雜度之間並無直接聯繫”。很多網站禁止使用連續數字、相同字母、生日、用戶名等簡單密碼，因為駭客使用“字典式攻擊”即窮舉的方式，可以很容易的破解這些密碼。為應對此類攻擊，網站往往會限制同一賬戶的密碼嘗試次數。不過駭客也有辦法，對於那些用戶成千上萬的網站，他們不會在一個帳號上進行多次嘗試，而是會使用最常見密碼連續嘗試數萬個賬戶。基於這種狀況，該論文提出了一種新的安全機制。網站不需要限制用戶使用簡單密碼，只需要限制不同用戶使用相同密碼的次數就可以了。一旦某個密碼已經被一定數量的用戶使用，此後就將不再允許其他人使用。這樣一來，由於沒有任何一個密碼在用戶中廣泛使用，將大大增加駭客字典式攻擊的難度，效果並不比禁用簡單密碼差。當然，這種方法只適用於擁有極大量用戶的網站，如微軟 Hotmail等。 -- ◢▅▅▅ _◤ ≡ ▏中國金坷連結灑點金坷垃張爸鯰姐到你家 ◢◤]│ |_─⊙-⊙-▏垃運輸專瓦斯摻了金坷垃一桶能頂兩桶炸 -│ │ 皿 ▏用車懶教抹些金坷垃蝌蚪乘以一千八 ▄ │ 凸╲█︶╱ 辦事前噴金坷垃小蚯蚓變黑曼巴 / \\┌┴┴┐//￣\\ //￣\\ 打砲吃了金坷垃一砲能頂兩砲爽美国.圣地亚戈 \__/ ψyuton \__/ \__/ 肛肛用了金坷垃雛菊開成太陽花 American.SHENGDIYAGE -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 140.112.239.154