用戶口令現狀調查與分析

張珺

摘 要

本文以現如今普遍存在的“密碼危機”為入口點，分析了現在國內外用戶口令設置的特點和危害，然后介紹了一些常用的密碼管理軟件并就如何設置安全性高的口令提出建議。

【關鍵詞】用戶口令 密碼危機 身份

1 調查背景

使用口令進行身份驗證是一種古老、易于實現，也是比較有效的身份認證手段。現如今很多系統都采用口令認證的方式把好第一道關，然而，近年來有關網絡密碼泄露、黑客入侵、用戶私密信息曝光等新聞屢見不鮮，對黑客來說，利用暴力或其他方法破解網站數據庫是輕而易舉，其中很大的因素都是因為用戶使用了弱口令，即那些容易被他人猜測或被暴力工具破解的口令。

2 用戶口令現狀調查

2.1 我國

近些年，我國發生了不止一起的密碼泄露的案件，在烏云漏洞平臺的弱口令事件，通過搜索“弱口令”可以發現很多弱口令的信息。通過對這些網站大量的用戶密碼的統計和分析，我們發現了很多相似的密碼，并得到了如表1的統計結果。

由此可見，密碼設置最多的還是純數字，而且相似度很高，很容易猜測，風險極大。對不同密碼類型及特殊字符分析總結后，我們得到表2。

表2顯示，和用戶名相關或E-mail、手機號比較受歡迎，另外，人們也很喜歡用自己的生日作為密碼，這些方式都很不安全，特別是對于了解用戶的入侵者而言，很容易就能通過個人信息猜解到用戶密碼。

2.2 國外

據報道，不久前，美國密碼管理應用程序提供商公開了2015年度最弱密碼，“123456789”，“password”，“football”等再次中槍，盡管黑客猖獗，數以萬計的網名密碼被盜，可是很大一部分用戶似乎并沒有因此提高安全意識，從今年的榜單來看，人們設置密碼的偏好也會受當年流行元素影響，比如設置電影中的經典臺詞，如《星戰7》中的“princess”。

3 口令空間及密碼熵的概念

我們用口令空間和密碼熵來衡量一個密碼的安全性大小。

我們定義口令空間=A^L ，其中A表示口令的字符空間，L表示口令的長度?？诹羁臻g越大越安全。

更為精確的衡量標準是密碼熵。密碼的破解難度依賴于密碼的不確定性，與密碼本身包含的信息量有著直接的關系，密碼提供的信息量越大，其不確定性就越小，也就越容易破解，反之。

用位表示的熵（H）計算公式如下：

H=log2（b^m）

其中b表示密碼的字符空間，m表示密碼密碼的長度，公式表明，密碼長度一定時，隨機選取的密碼強度最大。因此要想讓自己的密碼更加安全，根據密碼熵的公式，顯然，擴大字符集數量或者密碼長度，以及盡可能隨機的密碼組合會更加可靠。

5 建議

根據上述分析，為了防止自己的口令被破解而造成不必要的麻煩，我們給出如下建議以提高口令強度和安全性：

5.1 口令長度不要太短

除特殊要求一般至少設置在8位以上。位數太短，使用暴力破解很容易。

5.2 口令組成不要太單一

不僅要有數字、大小寫字母，還要加入若干特殊符號，比如#、$、%等。

5.3 口令內容不要是很容易理解或猜解的

比如不要用生日、電話號碼、單詞、句子等。這種方法很危險，因為黑客隨時可以從一些社交網站上獲得你的個人信息。最好設置復雜、方便記憶的個性口令。比如使用詩句的開頭字母：“病樹前頭萬木春”——bsqtwmc，或者使用一些公式：1$=6RMB，即1美元等于6元。

5.4 口令最好定期更換

使用密碼管理軟件；不要多處使用同一個口令（防止黑客一旦破解其中一個便能很容易得到其他口令）；不要無意間向他人透露自己的口令密碼（社會工程學）等等。

5.5 使用一次性口令認證

對于安全級別要求很高的系統，如銀行取款系統，建議使用一次性口令認證，如動態令牌。

6 結語

種種泄露事件一次又一次向人們敲響警鐘，黑客隨時利用漏洞進行攻擊。我們要做好全面防范，首先就是要讓自己的密碼變的可靠。本文介紹的一些注意事項和方法希望能給大家一些啟發，加強密碼強度，保護好個人隱私安全。

參考文獻

[1]魏為民.國內網絡用戶密碼分析[M].上海：電力學院出版社，2013（12）.

[2]胡旭.計算機口令的設置與技巧[D].遼寧林業學院，2012（04）.

[3]嚴霄鳳.基于熵的密碼強度估值[Z].北京：中國賽迪實驗室中國軟件評測中心.2013（11）.

作者單位

重慶大學 重慶市 400044