雷锋网:康奈尔大学、麻省理工学院和Dropbox的科研人员在最近的IEEE安全和隐私保护研讨会上发表了一篇论文。论文内容强调,在不严重危及安全的情况下自动更改密码,可以明显提高易用性,主要是为了更好地防止各种密码标识符带来的遗忘带来的不便。众所周知,雷锋。com担心自动改密码意味着路人也有可能登录你的账号。那么,如何兼顾高效率和安全性呢?雷锋专题专栏的创作者,上海交通大学计算机专业密码学与计算机实验室(LoCCS)软件平台工作组(GoSSIP)将在文章内容中为您解答。
有一天,小明已经愉快地访问了自己喜欢的网站,突然一个一言不合的网站少了一个登录框。小明极不情愿,同时极其熟练地键入密码搜索回车键,但低头一看,却发现键盘上的大写被锁住了。就在他的性投诉不得不重复的时候,小明惊讶地发现,他已经成功登录了。
反复打开关闭大写锁定,登录几次,明确大写锁定键没有被破解后,小明发现两个密码都可以登录。这太奇怪了,小明不禁要问,所有不正确的密码都可以登录。其他人可以用其他密码登录我的帐户吗?我可以在这个网站上安心的玩吗?
不正确改正作用其实网址只是启动了错别字纠正的功能,除了大写锁定(password->:PASSWORD)导致的英文大小写颠倒,还可以解决首字母大小写不正确(password->:Password)和末尾不必要的标识符(password->:Password)问题,这种系统大大提高了合理合法的客户登录的通过率,网站的易用性也大大提高。
众所周知,绝大多数的实际应用都在安全系数和可用性之间有一个平衡点,两者都是暗流涌动。所以,除了易用性的提升,还有哪些接踵而至的安全隐患,大家的账号被陌生人登录的概率有多大?这些问题都值得关注。
宾夕法尼亚大学的科学研究S&在顶级安全科学研究会议S&上的文章"密码错别字和如何安全地纠正它们"给出了这个问题的解释。
总的来说,本文回答了以下三个问题:
输入密码时,最常出现哪些错别字。根据帕累托定律(也称为二八定律),自动纠正最常见的错别字会对可用性造成很大的伤害。
错别字纠正对可用性有什么危害?
错别字改正对安全系数有什么危害?
针对第一个问题,科研人员对亚马逊机械土耳其人进行了密码基因表达实验。
下面详细介绍一下亚马逊MechanicalTurk,这是一个在线的“人力资本”销售市场。网站本身详细介绍的是人力资源的人工智能技术,在上面每个人都可以公布人力资源的智能日常任务(HIT,人类智能任务,比如识别并记录一张超市收据中的所有内容、名称和价格)并显示价格,而其他人可以在上面执行这个日常任务并获得相对的报酬。
(截图来自亚马逊)
在这个密码基因表达实验中,实验者被要求在照片中键入密码。最后有4300人参与,输入了超过5w的密码。根据统计结果,前三位的错别字分别是大写锁定(11%)、第一次旋转(4.5%)和加标识符“.”结尾(4.6%),占所有错别字的20%。因此,文章内容接着选取这三类错别字,加入错别字纠正系统进行科学研究。
关于导入不正确的纠错系统对具体可用性的危害,科研人员根据公布了唯一版本号的Dropbox版本号,记录客户键入的密码,观察登录是否成功。发现有3%的客户因为上述三种类型的错别字而不成功。在输错密码的客户中,如果三类错别字都能自动更正,20%的客户至少会节省1分钟。由此可见,引入不正确的公差体系,对可用性的提升显然是有害的。
typo忍受体制安全性吗?最后回到错别字来忍受安全系数的危害。
根据密码认证管理系统,进一步威胁的关键来自两个层面。
第一,网络服务器的网站已经被黑客攻击,网络攻击可以获取存储在网络服务器上的认证信息内容。这个信息内容一般是真实密码经过慢速hach后的结果(比如如果和密码匹配,很可能是网络服务器拼凑一个16字节的任意数据信息后存储10000次MD5的结果),但是转换后的密码匹配后不容易存储hach结果。在这种情况下,是否引入错别字容忍度制度,其实对网络攻击来说并不坏,所以对安全系数来说并没有坏处。
第二个威胁是遥控猜想。网络攻击可以继续尝试不同的密码,直到登录成功。但在特定的网站中,会设置一个安全频率,在一定频率(Q)的网络攻击尝试错误密码后,账户会被锁定。但是在这样的标准下,引入不正确的容忍度体系确实会给网络攻击带来优势。最初,网络攻击者只需认证一个密码就可以登录一次。然而,不正确容差系统的存在促使网络攻击者一次清除四个错误密码。那么,网络攻击的通过率提高了300%吗?
实际上,由于客户选择的密码不是均匀分布的,由于客户在密码选择上的偏差,一些字符串数组是正确密码的概率要比其他字符串数组高得多。因此,为了更好地了解安全系数的具体危害,科研人员又进行了一次实验。实验中假设网络攻击者知道密码的传播情况,首先选择最有可能的密码。
结果显示,网络攻击各进行10次,启动错误容忍系统后,登录随机选择的管理员帐户的通过率从0.79%提高到0.96%。但在进一步限制容差措施后(例如,如果转换后的密码出现概率较高,则不进行此类转换),通过率仅从0.79%提高到0.81%,与可用性上的提升相比可以忽略不计。
因此,在实践中,在不危及安全系数的情况下,完成耐受打字错误的口令检查方案是可行的。现阶段,创作者仍在科学地再次研究其他可能的错别字纠正方案,以安全地更改其他类型的错别字。所以,如果有一天大家真的遇到了小明这样的情况,也不用担心,尽情享受这种变化带来的便利和快捷就好。
雷锋网注:本文为雷锋网独家代理邀请函。请联系授权人并注明出处和创作者,请勿删剪内容。
注:阅读相关网站基本建设方法的文章,请移至网站建设教程频道栏目。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)