常換口令就安全?未必!

[[229310]]

5月份第一個(gè)星期四是“世界口令日”，本應(yīng)是提醒人們重新審視自己口令策略的日子，卻被某些公司當(dāng)成了公關(guān)機(jī)會(huì)，社交媒體上滿是糟糕的建議。

今年的“糟糕口令建議”獎(jiǎng)花落無(wú)線通信行業(yè)游說機(jī)構(gòu)CTIA(美國(guó)無(wú)線通信與互聯(lián)網(wǎng)協(xié)會(huì))。該協(xié)會(huì)甚至為此專門設(shè)立了一個(gè)網(wǎng)頁(yè)，在口令日當(dāng)天上午各種發(fā)推宣傳。

它在推文寫道：“今天是世界#口令日!提醒你pin碼/口令要常換常新哦。”然而，正如很多人立馬指出的，這條建議根本臭不可聞。

不過，認(rèn)真想想：這不是正確的建議嗎?難道不是幾乎所有系統(tǒng)管理員都不得不修改系統(tǒng)讓人們每隔幾個(gè)月就重置口令以更好地保證安全嗎?

沒錯(cuò)，但那都是2014年時(shí)的老黃歷了。自2015年末開始，世界幾大政府部門，從英國(guó)間諜機(jī)構(gòu)GCHQ(政府通信總部)到美國(guó)標(biāo)準(zhǔn)設(shè)立機(jī)構(gòu)國(guó)家標(biāo)準(zhǔn)與技術(shù)局(NIST)，再到消費(fèi)者機(jī)構(gòu)聯(lián)邦貿(mào)易委員會(huì)(FTC)，都強(qiáng)烈建議不要頻繁更換口令。

話雖如此，數(shù)十億的用戶名和口令泄露基本上定義了剛剛過去的這幾年，從電子郵件提供商到信用征詢機(jī)構(gòu)、家裝商店、零售店，甚至政府部門，都沒能逃過用戶名/口令泄露的魔爪。

既然是這樣，難道不是更應(yīng)該讓人們定期更換口令嗎?不好說?？梢哉f是，也可以說不是。

說是，是因?yàn)檫@些信息總會(huì)過時(shí)，迅速變得無(wú)關(guān)緊要。說不是，是因?yàn)轭l繁重置傷精費(fèi)神，容易讓人們傾向于采用更簡(jiǎn)單的口令，并不能真正給使用暴力破解的黑客增加任何難度。

不過，即便2019年隨著黑客攻擊模式的改變而每個(gè)人都建議定期修改口令，即便到了2021年人們又嚴(yán)厲譴責(zé)那些提出了2018年建議的組織，我們都無(wú)需大驚小怪。

從來(lái)都不缺組織機(jī)構(gòu)和個(gè)人上趕著告訴你你應(yīng)該怎樣操作口令：NCSC、CESG、NIST、FTC、谷歌、微軟、Mozilla、斯諾登……

但那又怎樣?他們都說是時(shí)候?qū)徱暱诹畹牟煌矫媪耍o出的建議又經(jīng)常相互沖突。最后拿出的所謂最佳口令建議我們往往能在此后兩年一遍又一遍地拎出來(lái)開嘲諷。

隨機(jī)口令還是可讀口令?

是個(gè)人都知道口令直接設(shè)成“password”就跟銀行卡密碼設(shè)成“123456”一樣蠢。但還是有眾多用戶這么干，以致大多數(shù)登錄門戶設(shè)計(jì)者不得不直接設(shè)了硬編碼的“愚蠢口令禁用”門檻。

但是，然后呢?“password1”又能好上多少?足夠好了嗎?替換幾個(gè)字符，弄成“p@ssw0rd”這樣的行不行?顯然，客觀講，后者看起來(lái)是比前者強(qiáng)上一些。但問題是比這好得多的辦法不是沒有啊。不過，這些好辦法基本落入兩種選擇：隨機(jī)口令，或是可讀口令。

最好的隨機(jī)口令是真正隨機(jī)的，不是什么轉(zhuǎn)頭就忘的奇怪拼寫，而是壓根兒永遠(yuǎn)記不住的字母、數(shù)字和符號(hào)的組合，比如“4&bqJv8dZrXgp”。

這種口令之所以更好，是因?yàn)橐a(chǎn)生并使用它，你得用個(gè)口令管理器?？诹罟芾砥魇莻€(gè)好東西，我們稍后再討論。

但是還有個(gè)問題：如果有人想要破解你的隨機(jī)口令，他們很可能會(huì)用自動(dòng)化軟件對(duì)一個(gè)系統(tǒng)狂轟濫炸成千上萬(wàn)個(gè)可能口令組合，直到最后命中正確的哪一個(gè)。

這種情況下，再怎么隨機(jī)都沒用，口令的長(zhǎng)度決定一切。計(jì)算機(jī)無(wú)所謂你用哪種語(yǔ)言的字符當(dāng)口令，但口令長(zhǎng)度越長(zhǎng)，所需猜解次數(shù)越多，而且是指數(shù)級(jí)增多。

經(jīng)過20年的不懈努力，我們終于教會(huì)大家使用人類很難記住，但計(jì)算機(jī)很容易猜解的口令了。

當(dāng)然，以上假設(shè)中很大一部分落在大家都會(huì)在口令中引入數(shù)字、符號(hào)和大寫字母上。如果不引入這些東西，口令破解軟件就只需嘗試小寫字母，破解時(shí)間會(huì)大幅縮短。

因?yàn)殚L(zhǎng)度是關(guān)鍵，也因?yàn)檩斎腚S機(jī)字母和數(shù)字太考驗(yàn)人的耐性，有很多組織和個(gè)人就認(rèn)為口令應(yīng)由用戶能實(shí)際記住的幾個(gè)隨機(jī)單詞構(gòu)成，比如“correct horse battery staple”。

這么做有點(diǎn)好處，谷歌已經(jīng)推行好幾年了。于是，哪種選擇更好呢?隨機(jī)口令?可讀口令?

答案是：都好，也都不好。如果你想記住口令并親自敲入，那可讀單詞組合更好。但如果太多人都不在口令中用到數(shù)字和符號(hào)，口令的強(qiáng)度會(huì)受到影響。

而且，很多組織機(jī)構(gòu)嚴(yán)格的口令策略也要求用戶注冊(cè)時(shí)必須在口令中含有大寫字母、數(shù)字和符號(hào)。這種情況下，可讀單詞組合式口令事實(shí)上并不可行。

總體看來(lái)，隨機(jī)口令相比之下有效得多。因?yàn)殡S機(jī)口令通常會(huì)迫使用戶轉(zhuǎn)向另一種完全不同的口令使用方式——不同用戶使用不同口令。這樣就能規(guī)避掉使用相同口令的其他賬戶被黑的風(fēng)險(xiǎn)了。而且，如果用戶已經(jīng)啟用反正都記不住的隨機(jī)口令，那就不妨再長(zhǎng)一點(diǎn)咯!

結(jié)論：如果想記住口令，用可讀式的;否則，用隨機(jī)的。但一定要確?？诹铋L(zhǎng)度不太短，至少要超過10位吧。

隨之而來(lái)的另一個(gè)問題：

口令管理器還是大腦?

推薦使用口令管理器的理由簡(jiǎn)直不要太多。首先，如果你能養(yǎng)成每次登錄都用口令管理器的習(xí)慣，那你基本上就是在提升自己的整體安全狀況了——因?yàn)槊看蔚卿浂疾灰粯恿恕?/p>

另外，既然都已經(jīng)用軟件保存&粘貼口令了，為什么不增加點(diǎn)口令長(zhǎng)度呢?隨機(jī)+夠長(zhǎng)，真的是護(hù)住在線安全的好辦法，也是僅憑用戶名/口令訪問機(jī)密信息的不安全系統(tǒng)中用戶所能獲得的最佳安全方式了。

不過，缺點(diǎn)也不是沒有。源遠(yuǎn)流長(zhǎng)的人腦還是會(huì)有些獨(dú)特的優(yōu)勢(shì)的。

最大的優(yōu)勢(shì)當(dāng)然就是存在人腦里的口令不會(huì)被黑，而存在某個(gè)數(shù)據(jù)庫(kù)中的口令是有可能被黑的?？诹罟芾砥麟m然很棒，但它們依然只是個(gè)軟件，并不能免疫安全漏洞這種東西。

口令管理器提供商自然會(huì)加倍努力地保護(hù)自身產(chǎn)品安全。但商業(yè)需求會(huì)導(dǎo)致解決方案安全性作出妥協(xié)。比如說，最好口令管理器之一的1Password，就將其賬戶遷移到了“在線保險(xiǎn)柜”中，用戶的所有口令都存在線上，通過手機(jī)/計(jì)算機(jī)訪問，而不是直接存在用戶設(shè)備本地。

這么做有幾個(gè)好處。比如，用戶無(wú)需再在各設(shè)備間同步以確保所有東西都是最新的。公司角度來(lái)看，這么做也大大方便了按月計(jì)費(fèi)而不是一錘子買賣。

然而不幸的是，這種方法也讓口令管理器提供商成為了全球黑客的眾矢之的：只要能破解這一個(gè)系統(tǒng)，它托管的所有口令就盡在我手。另外，別忘了，各國(guó)政府總有辦法強(qiáng)迫這些公司交出這些本應(yīng)保密的信息，有時(shí)候還附帶禁言令，拿了你的口令你都不知道。

可用性也是個(gè)問題：每次想登錄個(gè)網(wǎng)站都要打開個(gè)App或運(yùn)行個(gè)軟件也是件蠻痛苦的事。

相反，記在腦子里倒是可以隨時(shí)隨地毫無(wú)障礙地取用，還不用付費(fèi)，可算作是不上鎖還黑不著的數(shù)據(jù)庫(kù)了吧。

結(jié)論：使用并慣于使用口令管理器吧。除非你要保護(hù)的東西真的極端機(jī)密。但如果真的是極端機(jī)密的東西，那你就不應(yīng)該只通過用戶名/口令的方式訪問之。

經(jīng)常修改口令?

如前文討論過的，經(jīng)常修改和根本不改都有各自的理由。

經(jīng)常修改意味著舊口令毫無(wú)用處。至少理論上毫無(wú)用處。但實(shí)際上，很多研究人員都發(fā)現(xiàn)，因?yàn)槲覀兪侨瞬皇菣C(jī)器，這種方法帶來(lái)了其他一系列問題。

舉個(gè)例子，如果不得不經(jīng)常修改自己的口令，人們就傾向于使用更短更不安全的口令。人們會(huì)弱化對(duì)口令本身固有安全性的重視程度，因?yàn)楹芸煊謺?huì)換掉了嘛。這明顯不合邏輯，但老實(shí)說，也并非全無(wú)道理，畢竟我們大多數(shù)人并不真的覺得自己會(huì)被黑。

經(jīng)常修改口令還會(huì)吞掉大量的資源：各種系統(tǒng)需要頻繁更新，人們老是被催著去該口令。而且，“新”口令沒那么容易記住，也就導(dǎo)致不斷的重置和不停麻煩技術(shù)部那些本就不堪重負(fù)的技術(shù)支持人員。

改還是不改?多久改一次?那就是個(gè)平衡問題：定期修改口令的好處超出了其不利因素嗎?大多數(shù)情況下，并不。

在有充分理由懷疑已經(jīng)被黑客盯上的情況下，修改口令是有意義的。但那時(shí)處于這種情況下的人們應(yīng)該已經(jīng)強(qiáng)烈注意到了運(yùn)營(yíng)安全的需求，其中就包括使用會(huì)定期修改的復(fù)雜長(zhǎng)口令。每隔幾個(gè)月就從IT部門調(diào)幾個(gè)人過來(lái)告訴他們那些本就已經(jīng)在做的事毫無(wú)必要，也很煩人。

于是，我們真正討論的是那些身處高位卻對(duì)安全毫無(wú)概念的人：基本上，就是那些首席級(jí)高管和政客了。對(duì)他們而言，讓手下人去做就對(duì)了。

最常見的強(qiáng)制修改口令的情況最容易發(fā)生在被黑過的公司身上，比如推特，被黑后讓每個(gè)用戶都改了口令。但在企業(yè)層面上，還是別費(fèi)力不討好了，強(qiáng)制定期更換口令不適合作為一項(xiàng)策略規(guī)定。

結(jié)論：雖然很有吸引力，但別強(qiáng)制定期更改口令。

雙因子身份驗(yàn)證?

雙因子身份驗(yàn)證最棒的一點(diǎn)，是多了層額外的安全保護(hù)——以正確用戶名/口令登錄后還短信一條臨時(shí)驗(yàn)證碼之類的。

也就是說，除了掌握你的用戶名/口令，還必須持有(或能訪問)你的手機(jī)，才可以登錄你的賬戶。這大概是當(dāng)前正常預(yù)算范圍內(nèi)普通用戶能獲得的合理安全和抵御遠(yuǎn)程訪問最有效的方式了。

雙因子方法沒有物理安全或生物特征掃描器那么好，但也足夠好了?；究梢源_信試圖訪問某系統(tǒng)的人就是其所聲稱的那個(gè)人。

當(dāng)然，無(wú)論是對(duì)系統(tǒng)管理員還是對(duì)用戶而言，雙因子身份驗(yàn)證也有可能帶來(lái)痛苦的體驗(yàn)。每次訪問系統(tǒng)都會(huì)帶來(lái)額外的費(fèi)用和繁瑣手續(xù)，還有時(shí)間延遲。但如果是個(gè)重要系統(tǒng)，不用權(quán)衡，直接上雙因子吧。

自己的銀行賬戶需不需要雙因子身份驗(yàn)證?當(dāng)然需要!那可都是血汗錢。那么，F(xiàn)acebook或者亞馬遜賬戶呢?嗯，可能需要吧。于是，在線安全的另一大問題浮現(xiàn)——超越口令和用戶本身。

結(jié)論：重要登錄(社交媒體、電子商務(wù)、銀行業(yè)務(wù))上用雙因子身份驗(yàn)證。自己運(yùn)營(yíng)的每個(gè)重要系統(tǒng)上都提供雙因子身份驗(yàn)證選項(xiàng)。就這么做吧，雖然會(huì)麻煩一點(diǎn)，但黑客也同樣覺得雙因子身份驗(yàn)證很麻煩啊。

更健壯的系統(tǒng)

雖然每個(gè)人都會(huì)擔(dān)心用戶及其口令問題，隨時(shí)在變還會(huì)相互沖突的各種建議就是這種擔(dān)心的明證，但事實(shí)上，口令問題沒有所謂的正確答案。

任何僅依賴用戶名/口令訪問的系統(tǒng)基本上都是在“歡迎入侵”。真正的安全工作，真正應(yīng)該重視的地方，是口令現(xiàn)象背后的東西。

暴力破解只適用于容忍數(shù)千次登錄嘗試的系統(tǒng)。雖然X次錯(cuò)誤嘗試之后鎖定賬戶會(huì)讓用戶沮喪乃至暴躁，但這確實(shí)是遏制暴力破解攻擊的超有效方法。

同樣的，引入雙因子身份驗(yàn)證系統(tǒng)或許有點(diǎn)麻煩，但它也能大幅增強(qiáng)安全。設(shè)置入侵檢測(cè)系統(tǒng)并安排專人管理，是比試圖改變每個(gè)用戶的行為更有效的資源和時(shí)間利用方式。NIST其實(shí)在這方面有挺多好建議。

引入具體的口令策略是把雙刃劍。強(qiáng)制用戶使用超過8位的口令，還至少要包含1個(gè)大寫字母、1個(gè)數(shù)字，有助于改善安全狀況。

但這種做法完全無(wú)視了用戶再三設(shè)置口令都不被通過的挫敗感。更別說還有些讓人抓狂的小決定：可以用“#”不能用“%”，可以用冒號(hào)不能用分號(hào)等等。

準(zhǔn)備好應(yīng)付大量口令重置請(qǐng)求和令人生無(wú)可戀的技術(shù)支持要求電話吧，同時(shí)千萬(wàn)記住別犯蠢用明文發(fā)送口令。

理想世界中會(huì)有一套標(biāo)準(zhǔn)供不同系統(tǒng)溝通可接受的口令類型，口令管理器能自動(dòng)配置新口令，而整個(gè)過程只需用戶點(diǎn)擊一下按鈕即可完成。

當(dāng)然，這就是Facebook和谷歌的做法，他們利用自身龐大的既有用戶群讓公司企業(yè)可以更容易地讓用戶安全登錄公司系統(tǒng)，雖然同時(shí)也雁過拔毛地刮取信息轉(zhuǎn)手變賣……

“用Facebook登錄”按鈕的吸引力是巨大的，但真的用Facebook登錄的IT專業(yè)人士最好去面壁懺悔一下。

然后，還有個(gè)更殘酷的真相：如果每個(gè)人都用同一個(gè)系統(tǒng)，那大家就都不安全了。安全出自多樣性。

總結(jié)

綜上，更有水平的口令使用指南如下：

• 使用口令管理器和長(zhǎng)口令。
• 盡量啟用雙因子身份驗(yàn)證，別抱怨那額外的一步。
• 腦子里常備2套口令：用在不甚重要但不創(chuàng)建賬戶就登錄不了的網(wǎng)站上的一兩個(gè)隨時(shí)可以拋棄的簡(jiǎn)單口令;還有就是可以記住且永遠(yuǎn)不會(huì)告訴別人的一兩個(gè)重要的長(zhǎng)口令(四五個(gè)對(duì)你自身有意義的隨機(jī)單詞就挺好)。后者用于銀行賬戶和類似的重要系統(tǒng)。如果用戶不幸遭遇災(zāi)禍提前到閻王面前報(bào)到，想要訪問這些賬戶的人就必須發(fā)函并親自前來(lái)驗(yàn)明與用戶的合法關(guān)系才行。
• 使用2個(gè)瀏覽器：一個(gè)用來(lái)登錄Facebook、谷歌之類的，另一個(gè)用來(lái)訪問其他的。別讓這些瘋狂吞噬數(shù)據(jù)的大家伙侵入你的日常在線生活。
• 最后，別浪費(fèi)時(shí)間試圖教導(dǎo)別人應(yīng)該怎樣管理口令。這么做對(duì)你沒有任何好處，你不是在浪費(fèi)時(shí)間做無(wú)用功，就是把你自己放到了別人IT支持員工的位置上——相信我，IT支持不是什么愉快的經(jīng)歷。

有疑問?想想斯諾登會(huì)怎么做就好了啊!