摘要:
在IT界引起轩然大波的CSDN密码泄漏事件,让很多人对密码的安全性产生了深刻的关注。到底什么是弱密码?我们不妨从CSDN这份600万的数据样本中分析。虽然这里的用户群是IT从业者,或者里边也许有大量广告、僵尸用户的存在,但我相信还是能一定程度说明问题,毕竟CSDN不是垃圾网站。
基本弱密码其实有规则可寻:重复匹配常见单词自然顺序和倒序键盘键位。例如:“12345678”和“abcd1234”都是弱密码的典型例子。然而,我们同样不赞同非要让用户设置密码N位,必须包括字母、数字,甚至字母还要区分大小写的情况。位数还好理解,不是必须字母数字还大小写交叉才能增加密码强度。
为了验证想法,我们再做个类似四年前的实验(6位升级到了8位):例如“88888888”和“12345678”都被视为弱密码,而“designer”和“wau65756”则被视为极佳密码。但我们也要注意到,从CSDN数据样本中抽出一些使用比例较高且组合诡异的密码在Google测试的结果却并不一定符合我们的预期。例如:“1234567b”和“1233211234567”等被视为弱密码,而“#%^&*()”和“wau65756”等则被视为极佳密码。
然而,真正的弱密码不是靠规则硬匹配算出来的,必须在用户角度结合场景思考。例如,“iloveyou”和“password”等被视为弱密码,因为这些单词太常见了,但如果在特定的情况下使用,比如在一个私人的、非公开的网站上,这些密码也可能是安全的。相反,“1q2w3e4r5t”被认为是中密码,因为它是键盘顺序的排列,但在某些情况下,例如在一个需要快速输入的在线游戏中,这样的密码可能会非常安全。
在测试过程中,我们还发现了一个有趣的现象:几乎所有的网站都存在类似的问题。无论是网易、搜狐、新浪,还是其他的网站,他们的密码安全性似乎都没有得到很好的保障。这可能是因为很多网站都过于依赖硬性的规则匹配来判定密码的安全性,而没有从用户的角度去考虑。
对于密码的安全性,我们不能单纯地依赖于硬性的规则匹配。我们应该从用户的角度出发,结合具体的场景来考虑。同时,我们也应该呼吁网站开发者提高密码的安全性,以保护用户的隐私和数据安全。
标签:1233211234567
