煩人的密碼規則實際上讓我們更不安全 - 《華爾街日報》

Christopher Mims

2023-03-11

您所在的公司網絡或經常訪問的網站是否因為宣佈舊密碼已過期而強制您設置新密碼？

如果您覺得這很煩人，那麼您並不孤單。研究人員表示，更糟糕的是：這實際上對網絡安全有害。

定期更換密碼的策略是眾多糟糕或無效的密碼實踐之一，這些實踐使得登錄網站、應用程序和服務比以往任何時候都更加複雜和煩人。

我們不僅僅是在談論政府和公司IT系統的問題，儘管它們可能是最嚴重的違規者之一。根據普林斯頓大學研究人員的最新論文，包括蘋果、微軟、Instagram和LinkedIn等在內的公司和服務都有不盡如人意的密碼政策。

普林斯頓大學計算機科學教授、關於糟糕密碼政策的論文作者之一阿爾温德·納拉亞南表示，這些密碼政策可能會增加個人賬户被入侵的機會，尤其是如果用户沒有使用額外的賬户安全措施，如雙重認證。

根據多項研究，強制定期更改密碼，雖然看似是重置可能已泄露密碼的邏輯方式，但實際上往往會讓人們更傾向於選擇弱密碼。另一個有缺陷但常見的做法是限制密碼中可以使用的字符組合，或強制用户在密碼中包含特殊字符。事實證明，這些規則通常也不會導致更安全的密碼。

確實，未來我們或許能夠摒棄某些賬户的密碼，而且企業在黑客入侵後的網絡防禦方面也日益精進。但卡內基梅隆大學安全與隱私技術教授洛麗·克蘭諾指出，目前密碼仍是訪問個人賬户乃至無數其他關鍵系統幾乎通用的"前門"。

專家表示，定期更新密碼等要求反而導致用户選擇更簡單易猜的密碼。圖片來源：雅庫布·波爾齊茨基/NurPhoto/Getty Images### 人性+墨菲定律

克蘭諾博士在網絡安全領域較為獨特，她的研究既關注技術構建與應用，也聚焦人類行為。通過觀察普通人對機構網絡安全政策（包括密碼規則）的實際反應，她揭示了關於大多數人的幾個基本事實。

簡而言之：在網絡安全方面，人們聰明但懶惰。而且我們的行為具有驚人的可預測性。

當這些特質與那些初衷良好卻重規則輕實效的網絡安全政策相結合時，便為黑客創造了可乘之機——他們能輕易利用由此產生的弱密碼和其他不良安全習慣。（若要查看採用此類規則的網站，可訪問眾籌網站dumbpasswordrules.com。）

最頑固且普遍存在的糟糕密碼策略之一，就是要求用户定期為其最關鍵賬户（通常是工作賬户）更換新密碼。

這項政策可追溯至幾十年前。最初的設想是：如果密碼遭泄露，定期重置能將攻擊者擋在系統之外。

但根據人類"聰明卻懶惰"的行為法則，當你強迫人們定期更新賬户密碼時，出於挫敗感，他們往往會選擇系統能接受的最簡單密碼。克蘭諾博士指出，面對反覆強制重置，人們傾向於以完全可預測的方式修改現有密碼，例如逐步增加末尾數字。

人們可能認為這樣做很聰明，但黑客熟知所有這些把戲。原因之一是網絡上充斥着數百萬被盜密碼的數據庫。如果把黑客視為某種社會科學家和人類心理研究者，這些數據庫就是供他們研究的龐大數據集。

早在2016年，當克蘭諾博士擔任美國聯邦貿易委員會首席技術專家時，她就公開呼籲企業停止要求用户這樣做。2019年，微軟不再建議IT管理員強制要求定期更改密碼，稱這種做法是"古老過時、價值極低的風險緩解措施"。

然而，這一政策仍在延續。克蘭諾博士指出，其中一個原因是：對於企業安全負責人而言，增加規則和限制在管理層眼中是積極作為，而取消這類規則反而可能引發公司高層對安全性的質疑。另一個問題在於，被眾多機構奉為網絡安全政策金科玉律的美國國家標準與技術研究院（NIST）官方指南，直到2019年才停止建議定期修改密碼。

“奇怪的是，某些過時的密碼守則已演變成某種信仰。”納拉亞南博士表示

密碼與AI的博弈

克蘭諾博士解釋道，黑客正越來越多地運用機器學習算法（人工智能的一種形式）來分析海量被盜密碼，不僅能識別最常用密碼，還能發現人們在必須設置新密碼時最常用的修改模式。

最新研究顯示，來自中國多所高校和澳大利亞新南威爾士大學的研究人員證實，新一代生成式人工智能在預測用户修改密碼行為方面已極為精準——我們對密碼進行微小修改的習慣，可能像重複使用密碼一樣對網絡安全構成重大威脅。

如今，我們所有人的密碼幾乎都曾在數據泄露事件中公開過，因此黑客們早已摸透了你的習慣——比如你總愛用寵物名字稍加修改作為重複使用的密碼。

請停止使用這些密碼

納拉亞南博士指出，企業密碼策略（包括亞馬遜、網飛和Zoom等公司為用户制定的規則）的另一常見弊端是：允許用户設置那些最易被猜中的常見密碼組合。

想將亞馬遜密碼設為"12345678"？與納拉亞南博士合著論文的研究科學家凱文·李表示確實可以這樣設置。但黑客和身份竊賊可能會感謝你的慷慨。

納拉亞南博士及其合著者收集的數據顯示，在120個最著名的網站和服務中，有71家未對最高頻使用的簡易密碼採取任何攔截措施。

另一項既糟糕又長期困擾用户的密碼政策是強制要求包含特殊字符。論文第三作者斯滕·舍貝里解釋，早期制定這條規則的邏輯在於：特殊字符能增加密碼複雜度，從而加大攻擊者的破解難度。

但克拉諾博士指出，現實中這反而促使人們設置更簡短易猜的密碼——比如僅在末尾加個感嘆號應付了事。

僅提供更完善的安全措施遠遠不夠

對網絡安全有所瞭解的讀者此刻可能已經憤怒地舉手投降了。當然這些都是糟糕的密碼策略！但如果一個人在其最重要的賬户上使用雙重認證，並且使用密碼管理器為每個登錄的賬户生成獨特且複雜的密碼（密碼管理器——每個人都應該採用——可以生成強密碼、存儲它們並自動填入應用和網站），這些策略還重要嗎？

如果人們確實在使用這些工具，或許不重要。但多年調查揭示的問題是，儘管人們有更好的方式來保護賬户安全，但這他們未必會這麼做。實際上，密碼管理服務BitWarden背後的公司最近進行的一項全球調查發現，只有34%的人使用密碼管理器。其他調查則顯示這一數字可能低至10%。

關於雙重認證的統計數據較難獲取，這種認證方式要求用户提供第二個秘密（如短信發送的驗證碼）來驗證身份。例如，谷歌對谷歌賬户雙重認證的低採用率（2018年僅為10%）感到非常沮喪，以至於在2021年，該公司開始默認對1.5億賬户啓用該功能。

類似地，微軟自2014年起要求每個消費者微軟賬户使用某種形式的雙重認證。而自2021年起，該公司允許所有用户完全無密碼登錄，轉而使用一種名為“通行密鑰”的新技術。通行密鑰的工作原理是在用户設備與雲端計算機之間交換秘密信息，用户只需通過面部識別等方式向設備驗證自己的身份，無需其他操作。

微軟身份與網絡訪問部門的企業副總裁亞歷克斯·西蒙斯表示，上個月有2.67億人通過無密碼登錄方式（如微軟基於生物識別的Windows Hello系統）使用微軟服務，佔其系統總登錄量的四分之一。

西蒙斯先生稱：“我們的觀點是密碼從根本上存在缺陷，與其試圖修復它們，不如將其視為整體身份驗證流程中的一小部分，核心在於確認’你是否是你聲稱的那個人’。” 該用户身份驗證"流程"包括檢測是否從新設備登錄、微軟機器學習系統是否識別到賬户異常行為，以及登錄嘗試的地理位置。

圖為微軟辦公室，該公司已不再建議IT管理員強制要求定期重置密碼，稱這種做法"過時且無效"。圖片來源：Chona Kasinger/彭博新聞### 請將以下內容轉發給您的IT管理員

那麼，密碼和網絡安全政策的最佳實踐究竟有哪些？

首先，企業應停止強制用户定期更改密碼。其次，禁止使用任何公開泄露密碼列表或易猜測密碼。第三，在用户輸入密碼時提供即時強度評估——並確保該工具基於最新研究數據。第四，不強制要求密碼包含特殊字符。第五，鼓勵用户設置比平常更長的密碼。

此外，強制用户採用基於設備的雙重身份認證能顯著提升任意賬户的安全性。同樣地，鼓勵用户使用密碼管理器也大有裨益。（企業們，何不讓員工報銷這類工具費用？）最後，通過通行密鑰實現無密碼登錄的轉型，為我們提供了超越現行安全標準的機會——這種新潮且便捷的方式，目前已知的破解手段更少。

總而言之，提升個人與組織安全的關鍵在於制定符合現實人類行為的網絡安全政策。

“我認為安全問題始終是每個人的責任，只是現在我們才真正意識到這一點，“克蘭諾博士表示，“而設計完善的安全系統有助於減輕團隊中非安全專家的負擔。”

欲獲取更多《華爾街日報》科技板塊的分析、評測、建議及頭條新聞，請訂閲我們的每週通訊。

聯繫克里斯托弗·米姆斯，郵箱：[email protected]

本文曾以《密碼政策反而降低安全性》為題發表於2023年3月11日印刷版。