Lentis/password1234: 網路安全與密碼文化

密碼 是一種常見的使用者身份驗證方法，允許個人獨佔訪問資源。密碼最常見的形式是字母數字字元的字串，通常在 8 到 12 個字元之間，並且可能包含一些特殊符號，例如井號 (#) 或星號 (*)。

在數字時代之前，密碼在古埃及就被用來加密墳墓和貴重文物。當埃及人去世時，他們會與亡靈書一起埋葬，亡靈書包含召喚神靈的咒語或密碼，以幫助死者克服來世遇到的所有障礙^[1]。

第一個數字密碼可以追溯到 MIT 相容分時系統 (CTSS)^[2]。CTSS 的獨特之處在於它允許多個使用者利用 IBM 7094 大型機的處理能力。CTSS 也被稱為第一個“漏洞”，當時的研究生 Allan Scherr 利用 CTSS 的一項功能來獲得更長的計算資源訪問時間^[2]。

雖然使用者身份驗證自計算機的早期就已經存在^[2]，但身份驗證的方式並沒有改變多少。密碼安全方面的一些發展包括使用

• 安全問題
  • 例如，"您母親的孃家姓是什麼？"
• 挑戰-應答
  • 例如，發出多個密碼，每個密碼都有一個唯一的識別符號，例如 p1=pv4OAFx1Q2cQ，p2=DsYfX3Ke。
• 雙重身份驗證
  • 例如，需要銀行卡和記憶的 PIN 碼。
• 零知識證明

心臟滴血 (2014 年 4 月)

密碼的實施是為了防止未經授權的訪問個人資源。為了有效，密碼需要複雜、難以猜測，並且需要定期更新。然而，對於真實使用者來說，密碼可能很麻煩。透過要求在使用者進行他們想要的任務之前採取額外的步驟，身份驗證成為了一種負擔，並且可能導致使用者為了方便而犧牲安全性。

當個人建立密碼時，他們通常會遵循某些既定的指南。最常見的指南是密碼長度，通常至少為 8 個字元。鼓勵使用者透過使用各種不同的字元來增加複雜性，例如大小寫字母、數字和符號。為了防止其他人猜測他們的密碼，建議使用者不要使用個人資訊。^[3]

當指南變得過於嚴格時，就會出現困難。一些網站要求密碼至少包含一個數字或符號，但其他網站禁止使用它們，從而增加了混亂。例如，AT&T 不允許使用除連字元 (-) 或下劃線 (_) 以外的符號。^[4] 這些限制大多數源於 遺留軟體系統，這些系統以不同的方式處理密碼，無法處理某些特殊字元。^[5] 這種服務端負擔轉移給了使用者。

使用者在建立和記住密碼時必須考慮幾個因素。密碼需要足夠複雜，以至於無法被決心入侵者破解，但也不能過於複雜以至於使用者無法記住它。這提出了一個獨特的挑戰，而 密碼心理學 考察了技術安全和社會限制的交叉點。密碼需要在抵禦未經授權訪問的能力與使用者記憶的簡易性之間取得平衡。

密碼最常見的問題是使用者所承受的記憶負擔。隨機的字母、數字和符號字串可以有效抵禦使用字典的 暴力攻擊，但它們會建立難以記憶的密碼。安全專家開始理解這一挑戰，並相應地修改指南。雖然鼓勵他們不要使用個人資訊，但有些網站建議使用常見的隨機詞語，用符號替換一些字母，可以建立強密碼。^[6] 常見的詞語有助於記憶，而符號替換增加了複雜性。

過於複雜的密碼的反覆結果是使用者忘記它，導致網站在其登入部分實施 "忘記密碼" 元件。找回是使用者必須克服的另一個障礙，加劇了忘記密碼帶來的挫折感。減輕這種情況的一種方法是經常更改密碼，從而減少忘記密碼的可能性，尤其是在不常訪問的網站上。^[6]

使用者可以採用不同的方法來應對記憶負擔。對於工作站登入，使用者有時會寫下他們的密碼並將其貼在他們的機器上。^[7] 有些人對多個網站使用同一個密碼，這意味著如果一個網站被入侵，使用者的其他賬戶也處於危險之中。^[8] 然而，有時密碼重複使用是可以接受的，只要重複使用的密碼用於低風險賬戶，這樣就可以將精力集中在保護高風險賬戶上。^[9]

目前許多身份驗證技術的進步都集中在簡化使用者的身份驗證流程上。許多嘗試旨在透過使密碼更容易使用或記憶來降低密碼文化的複雜性。LastPass 等密碼整合器，Google 等公司實施的 OAuth 系統以及 Yubikey 等物理密碼替代方案都是行業試圖減少密碼對消費者造成問題的嘗試。

密碼管理器使用軟體將使用者的所有密碼儲存為資料庫，然後將資料庫儲存在本地或雲中。一旦密碼被新增到資料庫中，使用者只需要告訴軟體檢索它，就可以使用長而複雜的密碼，通常無法記憶。該服務允許使用者為每個帳戶使用不同的密碼，消除密碼重複使用的風險。為了增加額外的安全層，訪問資料庫通常需要使用者輸入密碼，這意味著使用者理想情況下只需要記住一個密碼就可以登入到他們所有不同的帳戶。

密碼管理器的缺點是，許多管理器將資料儲存在雲中，這意味著存在資料庫被入侵的風險，並且您的所有密碼都可能可用。此外，如果使用者建立了幾個長而複雜的密碼，幾乎不可能在沒有直接訪問您的資料庫軟體的情況下登入到大多數帳戶，這意味著您需要網際網路訪問許可權，並且只能在您自己的裝置上登入。

密碼整合軟體的主要示例包括

• LastPass：跨平臺，雲儲存的密碼資料庫，可以透過 Web 介面或各種 aps 和外掛（取決於裝置）訪問。
• KeePass：跨平臺（在移動裝置上不可用），本地儲存的密碼資料庫
• Dashlane：跨平臺，雲儲存（可選）的密碼資料庫

OAuth 是一種系統，透過該系統，網站可以允許使用者使用不同的服務登入，最值得注意的是 Google 或 Facebook^[10]。使用者登入到他們希望使用的服務，然後該服務向新網站提供請求的資訊，從而無需使用者建立單獨的帳戶。這些系統通常由擁有眾多使用者和高安全性的大公司提供，讓使用者透過永遠不必在新網站上建立新帳戶而獲得額外的安全感。

該系統最顯著的負面影響是，如果您的主要帳戶被盜，該使用者將可以訪問您可能儲存資訊的其他網站，或者他們可以使用該系統在其他網站上冒充您^[11]。

為使用者提供 OAuth 系統的最知名公司包括

• Facebook
• Google
• Windows Live
• GitHub

本章中介紹了兩種主要型別的替代方案，生物識別和物理硬體替代方案。生物識別密碼替代方案更加複雜，但在技術上更難實現，而物理硬體替代方案使用必須隨身攜帶的裝置^[12]。

生物識別

生物識別替代方案使用生物特徵來驗證使用者在各種網站上的身份。在許多情況下，這些屬性包括指紋或虹膜掃描等，這些被認為對每個人都是獨一無二的。雖然虹膜掃描尚未用於許多商用產品，但指紋掃描器現在已出現在手機中，並用作額外的安全層^[13]。生物識別安全的一些更獨特的方法包括 Nymi，這是一種手環，它聲稱可以讀取使用者的心律來識別他們^[14]。

物理安全金鑰

物理硬體替代方案是使用者隨身攜帶的裝置，通常建立不可猜測的一次性密碼。Yubico 的 Yubikey 是一個流行的示例，它是一個 USB 記憶棒，使用者插入後會生成密碼。

物理硬體替代方案的主要負面方面是，使用者必須隨身攜帶該裝置才能登入，如果裝置被盜，那麼小偷將可以訪問所有使用該裝置進行身份驗證的使用者的帳戶^[12]。生物識別識別通常更安全，但從提供者的角度來看更難實現，並且可能會過度敏感或很容易被欺騙，具體取決於建立者設定的特定級別^[12]。與密碼管理器和 OAuth 相比，密碼替代方案是三者中最不發達的，但理論上提供了最大的安全性，因為實際上沒有可以猜測或洩露的“密碼”，只有一個物理裝置，這更容易保護。

一些團體建議將密碼、生物識別和物理安全系統結合起來，這樣即使單個系統丟失也不會構成完全的安全漏洞。一個例子是雙因素身份驗證。Google 使用 Google Authenticator 的形式，該系統在使用者請求時生成密碼，並且密碼只能在單獨的裝置上獲取，通常是智慧手機，並且只在短時間內有效（通常在一分鐘內）。這通常與標準密碼相結合，使其兼具基於密碼的安全性，以及物理替代方案^[12]。

現代密碼選擇模式可以看出，人們通常更喜歡便利而不是安全，並且如果可以選擇，他們會選擇便利的道路。建立密碼替代方案的團體和公司認識到這一點，並試圖使當今存在的密碼系統更方便使用，或者試圖用更方便的系統來替換此係統。所有這些對現狀的調整和改變都是為了實現“便捷安全”的目標，在這種目標中，由於到位系統的緣故，線上保持安全需要很少的努力。

1. ↑ 非洲思想牛津百科全書
2. ↑ ^{a b c} http://ieeexplore.ieee.org/stamp/stamp.jsp?tp=&arnumber=145324&tag=1
3. ↑ Windows：建立強密碼和密碼短語的技巧。 http://windows.microsoft.com/en-us/windows7/tips-for-creating-strong-passwords-and-passphrases
4. ↑ AT&T：密碼提示和要求。 https://www.att.com/OLAM_PROD_CMS/English/staticContent/html/help_passwd_restrictions_cms.html
5. ↑ Stack Exchange，安全：http://security.stackexchange.com/questions/1534/why-do-some-websites-and-programs-restrict-password-characteristics
6. ↑ ^{a b} [Google：建立強密碼。 https://support.google.com/accounts/answer/32040?hl=en]
7. ↑ 福布斯：密碼的問題。 http://www.forbes.com/sites/tomkemp/2011/07/25/the-problems-with-passwords/
8. ↑ PCWorld：密碼重複使用非常普遍，研究表明。 http://www.pcworld.com/article/219303/password_use_very_common_research_shows.html
9. ↑ 獨立報：微軟：'重複使用舊密碼比建立新密碼更好'。 http://www.independent.co.uk/life-style/gadgets-and-tech/news/microsoft-tells-internet-users-that-they-are-better-off-reusing-old-passwords-than-creating-new-ones-9610324.html
10. ↑ http://oauth.net/2/
11. ↑ http://www.socialtechnologyreview.com/articles/oauth-pros-and-cons-oauth
12. ↑ ^{a b c d} O'Gorman, L. (2003). Comparing passwords, tokens, and biometrics for user authentication. Proceedings of the IEEE, 91(12), 2021-2040.
13. ↑ http://www.techradar.com/us/news/phone-and-communications/mobile-phones/your-move-apple-samsung-opens-up-its-fingerprint-scanner-to-all-apps-1229280
14. ↑ http://www.nymi.com/the-nymi-band/