保安專家︰經常轉換密碼 可能適得其反

保安專家︰經常轉換密碼 可能適得其反
Image Credit: ImageZoo / Corbis / 達志影像
我們想讓你知道的是

不少機構的電腦系統,都會要求用戶每隔一段時間便更改密碼。有專家表示,這項措施可能使用戶選擇較不安全的密碼,反過來削弱系統安全。

唸給你聽
powered by Cyberon

現在一人多個電腦帳戶並非新鮮事,為安全起見自然也有多個密碼(安全警示︰如果你所有帳戶都使用同一密碼,請先停止閱讀,立即去多改幾個密碼)。而在工作場所或學校,也許會有其他帳戶,例如電郵、電腦登入戶口等。

有些地方的IT主管或會訂下規則,要求所有用戶定期更改密碼,以確保帳戶安全。理論上這項政策可以減少黑客以逐一嘗試方式猜中密碼的機會,然而美國聯邦貿易委員會(Federal Trade Commission, FTC)的首席技術專家克蘭娜(Lorrie Cranor)近日撰文指出,強制用戶定期更改密碼並不如想像中安全,甚至可能帶來反效果。

克蘭娜是卡內基美隆大學(Carnegie-Mellon University, CMU)教授,亦是該校可用私隱及安全實驗室(Usable Privacy and Security Laboratory)總監,其中一個研究範疇是如何在確保電腦系統安全之餘方便用家。

密碼的兩難︰安全vs.易記

相信大部份人都知道,選一個安全的密碼很重要,而安全的密碼通常有幾個要求︰長、混合數字、大小寫字母及符號、不含常見用詞等。一言以蔽之,就是「別人難以猜到及電腦難以破解」。

問題在於,符合這些安全要求的密碼,往往就是一堆亂以記住的亂碼,而如果有幾個重要帳戶——例如銀行、私人電郵、工作電郵、Facebook——就需要記住更多亂碼。尤有甚者,假如你使用的系統設定要求定期更改密碼,那麼你就要(比方說)每三個月重新牢記一堆亂碼。

在這個情況下,很多用戶就會傾向採用更易記——往往更不安全——的密碼,以致本來為確保安全的措施,反過來削弱系統安全。

克蘭娜提到,10年前有專家撰文指「定期更換密碼」的傳統智慧已經過時,然而要到近幾年學界才有更多證據顯示,這項措施不如想像中有效。

破解密碼的研究

例如一項2010年來自北卡羅來納大學教堂山分校的研究,分析了該校超過1萬個已經停用的舊帳戶,來研究這些帳戶的密碼安全度。每個帳戶均曾使用4至15個密碼,研究人員取得這些密碼的hash。

在此先簡單介紹一下「hash」這東西︰安全的電腦系統不會直接儲存密碼,而是以hash函數把密碼(例如12345)轉換成一個雜亂的字串,這個字串簡稱hash。當用戶輸入密碼時,系統可以對比兩個hash是否一樣,來決定密碼是否正確。

Hash的解說圖。Image Credit: Pluke, CC0

Hash的解說圖。Image Credit: Pluke, CC0

Hash巧妙之處在於,假如黑客只知道密碼的hash而不知密碼本身,便難以逆向推算密碼。黑客得到密碼的hash後,往往是透過其他方法猜密碼,再對比hash來確認是否猜中。也就是說,雖然得到hash不等如知道密碼,不過黑客可以在自己的電腦中不斷猜測,從而破解密碼。

稍作改動便得到新密碼

研究人員使用兩部配備兩顆四核2.67GHz處理器及72GB記憶體的電腦來破解密碼,到寫論文時他們已經破解到近8千個帳戶的超過3萬個密碼。在接下來的分析中,他們排除了只破解到最後一個密碼的帳戶,而研究當中7752個帳戶。

研究人員估計,用戶會把舊密碼以更換大小寫、刪減、替代、調換次序等手段來設定新密碼。因此他們以同樣方式,來猜測帳戶最後一個密碼(可視為正在使用的密碼)。

結果發現,這7千多個帳戶中,有41%的帳戶密碼可以在數秒內破解。當然,這速度可能是因為他們有強大的電腦來運算,但論文亦指出有17%——約六分之一——的密碼,只需要猜5次以內便能破解。

這項研究顯示,帳戶經常轉換密碼的話,也許只是把原有密碼稍作更改,不見得會更加安全。假如黑客已獲得舊密碼,猜中其新密碼的機會亦會增加。

規定使用家不願改好密碼

另外,強制用戶定期更改密碼的規定,同樣會影響用戶的密碼選擇。克蘭娜引述一項調查研究指出,假如用家事先知道將要更換密碼,便會傾向使用較弱的密碼,或把密碼寫下來,而這兩個做法都會削弱系統安全。

她有份參與的調查亦發現,在卡內基美隆大學的學生、教師或職員當中,對密碼政策感到煩厭者會採用較弱的密碼。克蘭娜對此表示理解︰在急需完成工作時,系統仍彈出訊息要求更改密碼的話,她也不會花太多心力去想一個強密碼。

克蘭娜認為,雖然未有嚴格的對照實驗來證明強迫更改密碼會影響用家決定,但上述研究已顯示這類政策可能適得其反。

機構應改變規定

2009年美國國家標準技術研究所(The National Institute of Standards and Technology, NIST)一份針對企業密碼管理的建議書指出,強制定期更換密碼的政制有助減低洩露密碼的部份影響,但對其他情況下並非有效措施,更「經常是用家沮喪的源頭」。

克蘭娜強調,在某些特定情況下,更換密碼是必須的。而機構資訊系統安全的負責人,在制定密碼政策時則應該全面考慮其風險及好處,以及嘗試尋找其他替代方案。

總括而言,目前的研究顯示,頻繁要求用戶改變密碼,不會帶來太多保安上的好處,卻會令用家煩厭,甚至使用更不安全的密碼。而對於大部份機構來說,鼓勵用戶花時間改一個安全的密碼來長期使用,配合其他保安措施更加有效。

至於如何改一個好密碼?可以參考克蘭娜的演講︰

相關文章︰

資料來源︰