微軟研究證實 密碼復(fù)雜了也不安全

Win7之家（ www.airtaxifl.com）：微軟研究證實 密碼復(fù)雜了也不安全

微軟研究院的兩位研究人員Stuart Schechter和Cormac Herley日前共同發(fā)表了一份論文稱，根據(jù)他們的研究，網(wǎng)站要求用戶使用復(fù)雜的密碼，對提升整體安全性并沒有任何幫助。

該報告還表示，實際上只有那些不擔(dān)心競爭問題的機構(gòu)才傾向于強制提高密碼復(fù)雜性標(biāo)準，比如政府網(wǎng)站。因為無懼用戶因怕麻煩而投奔競爭對手，這些機構(gòu)可以放心大膽的強制要求用戶使用比如字母數(shù)字交叉，區(qū)分大小寫的復(fù)雜密碼。但研究證實“用戶賬戶價值、受攻擊數(shù)量和網(wǎng)站強制密碼復(fù)雜度之間并無直接聯(lián)系”。

很多網(wǎng)站禁止使用連續(xù)數(shù)字、相同字母、生日、用戶名等簡單密碼，因為黑客使用“字典式攻擊”即窮舉的方式，可以很容易的破解這些密碼。為應(yīng)對此類攻擊，網(wǎng)站往往會限制同一賬戶的密碼嘗試次數(shù)。不過黑客也有辦法，對于那些用戶成千上萬的網(wǎng)站，他們不會在一個帳號上進行多次嘗試，而是會使用最常見密碼連續(xù)嘗試數(shù)萬個賬戶。

基于這種狀況，該論文提出了一種新的安全機制。網(wǎng)站不需要限制用戶使用簡單密碼，只需要限制不同用戶使用相同密碼的次數(shù)就可以了。一旦某個密碼已經(jīng)被一定數(shù)量的用戶使用，此后就將不再允許其他人使用。

這樣一來，由于沒有任何一個密碼在用戶中廣泛使用，將大大增加黑客字典式攻擊的難度，效果并不比禁用簡單密碼差。當(dāng)然，這種方法只適用于擁有極大量用戶的網(wǎng)站，如微軟Hotmail等。