密码不对也能登陆成功，还能在这个网站上放心玩…

密码不对也能登陆成功，还能在这个网站上放心玩…

雷锋网出版社:康奈尔大学、麻省理工学院和Dropbox的科研人员在最近的IEEE安全和隐私保护研讨会上发表了一篇论文。论文内容强调，自动更改密码可以在不严重危及安全的情况下，明显提高易用性，主要是为了更好地防止各种密码标识符带来的遗忘带来的不便。众所周知，雷锋。com担心自动改密码意味着路人也有可能登录你的账号。那么，如何兼顾高效率和安全性呢？雷锋专题专栏的创作者，上海交通大学计算机专业密码学与计算机实验室(LoCCS)软件平台工作组(GoSSIP)将在文章内容中为您解答。

有一天，小明已经愉快地访问了自己喜欢的网站，突然一个一言不合的网站少了一个登录框。小明极不情愿，同时极其熟练地键入密码搜索回车键，但低头一看，却发现键盘上的大写被锁住了。就在他的性投诉不得不重复的时候，小明惊讶地发现，他已经成功登录了。

反复打开关闭大写锁定，登录几次，明确大写锁定键没有被破解后，小明发现两个密码都可以登录。这太奇怪了，小明不禁要问，所有不正确的密码都可以登录。其他人可以用其他密码登录我的帐户吗？我可以在这个网站上安心的玩吗？

 不正确改正作用

网址其实只是开启电脑打字错别字更正，除了大写锁定(密码->:PASSWORD)导致的英文大小写颠倒，还可以解决首字母大小写不正确(密码->:Password)和结尾不必要的标识符(密码->:Password)问题，这样的系统大大提高了合理合法客户的通过率，网站的可用性也大大提高。

众所周知，绝大多数的实际应用都在安全系数和可用性之间有一个平衡点，两者都是暗流涌动。所以，除了易用性的提升，还有哪些接踵而至的安全隐患，大家的账号被陌生人登录的概率有多大？这些问题都值得关注。

宾夕法尼亚大学的科学研究S&在顶级安全科学研究会议S&上发表的文章《密码错别字和如何安全地纠正它们》给出了这个问题的解释。

总的来说，本文回答了以下三个问题:

输入密码时，最常出现哪些错别字。根据帕累托定律(也称为二八定律)，自动纠正最常见的错别字会对可用性造成很大的伤害。

错别字纠正对可用性有什么危害？

错别字改正对安全系数有什么危害？

针对第一个谜题，科学研究人员对亚马逊机械土耳其人进行了密码基因表达实验。

下面详细介绍一下亚马逊MechanicalTurk，这是一个在线的“人力资本”销售市场。网站本身详细介绍的是人力资源的人工智能技术，在上面每个人都可以公布人力资源的智能日常任务(HIT，人类智能任务，比如识别并记录一张超市收据中的所有内容、名称和价格)并显示价格，而其他人可以在上面执行这个日常任务并获得相对的报酬。

(截图来自亚马逊)

在这个密码基因表达实验中，实验者被要求在照片中键入密码。最后有4300人参与，输入了超过5w的密码。根据统计结果，前三位的错别字分别是大写锁定(11%)、第一次旋转(4.5%)和添加标识符“.”结尾(4.6%)，占所有错别字的20%。因此，文章内容接着选取这三类错别字，加入错别字纠正系统进行科学研究。

关于导入不正确的纠错系统对具体可用性的危害，科研人员根据公布了唯一版本号的Dropbox版本号，记录客户键入的密码，观察登录是否成功。发现有3%的客户登录失败是因为上面提到的三类错别字。密码不正确的客户中，如果能自动更正三类错别字，20%的客户至少会节省一分钟。由此可见，引入不正确的公差体系，显然对可用性的提升是有害的。

 typo忍受体制安全性吗？

最后回到错别字来忍受安全系数的危害。

根据密码认证管理系统，进一步威胁的关键来自两个层面。

第一，网络服务器的网站已经被黑客攻击，网络攻击可以获取存储在网络服务器上的验证信息内容。这个信息内容一般是慢hach后真实密码的结果(比如匹配密码，很可能是网络服务器拼凑一个16字节的任意数据信息后存储10000次MD5的结果)，但是存储转换后的密码并不容易。在这种情况下，是否引入错别字容忍度制度，其实对网络攻击来说并不坏，所以对安全系数来说并没有坏处。

第二个威胁是遥控猜想。网络攻击可以不断尝试不同的密码，直到登录成功，但是特定的URL会设置一个安全频率，在网络攻击尝试错误密码达到一定频率(Q)后，账户就会被锁定。但是在这样的标准下，引入不正确的容忍度体系确实会给网络攻击带来优势。最初，网络攻击者只需认证一个密码就可以登录一次。然而，不正确容差系统的存在促使网络攻击者一次清除四个错误密码。那么，网络攻击的通过率提高了300%吗？

实际上，由于客户选择的密码不是均匀分布的，由于客户在密码选择上的偏差，一些字符串数组是正确密码的概率要比其他字符串数组高得多。因此，为了更好地了解安全系数的具体危害，科研人员又进行了一次实验。实验中假设网络攻击者知道密码的传播情况，首先选择最有可能的密码。

结果显示，网络攻击各进行10次，启动错误容忍系统后，登录随机选择的管理员帐户的通过率从0.79%提高到0.96%。但是，在进一步限制容差措施后(例如，如果转换后的密码出现的概率很高，则不会进行这样的转换)，通过率仅从0.79%提高到0.81%。相对于可用性上的提升，这个可以忽略。

因此，在实践中，在不危及安全系数的情况下，完成耐受打字错误的密码检查方案是可行的。现阶段，创作者仍在科学地再次研究其他可能的错别字纠正方案，以安全地更改其他类型的错别字。所以，如果有一天大家真的遇到了小明这样的情况，也不用担心，尽情享受这种变化带来的便利和快捷就好。

雷锋网注:本文为雷锋网独家代理邀请函。请联系授权人并注明出处和创作者，请勿删剪内容。