標籤:

強制使用強密碼、強制手機號註冊是否一定程度上導致了密碼的泄露?

01-04

近年來包括網易郵箱、CSDN的一系列密碼泄露據傳言都是通過撞庫得到的。

我們假設一個情境:一個普通用戶,在上網過程中不斷在不同的網站註冊新的賬號。有一天,這名用戶在註冊時被提醒「密碼強度過低」,於是他提高了密碼的複雜度;而後某天這個密碼同樣被冠以「強度過低」就再次被複雜化。於是經過一段時間的耳濡目染,在某個C網站上提升密碼複雜度以後,這名用戶回頭把所有他認為具有敏感信息的A、B賬戶密碼全部修改為高複雜度密碼。

但是在這個過程中大部分用戶為了記憶方便,會把敏感賬戶設為同一個足夠複雜的密碼並且忽視了C網站上留存的敏感密碼,那麼根據木桶原理,敏感信息的鑰匙有極大可能從C網站流出,並因撞庫導緻密碼泄露。同時這幾年因為甚囂塵上的大數據,幾乎所有的網站都削減了其他註冊入口,刻意的引導用戶直接使用手機註冊,而對一般個人來說這就是直接把個人同賬號密碼綁定了起來,脫褲危害大大提高。

我個人接觸互聯網早於移動互聯網興起,因此大部分有需求的賬號都是通過郵箱或者獨立的用戶名註冊,使用多組交叉的賬號密碼,並沒有搭上手機號註冊這班黑車。但是對於其他很大一部分不了解個人信息泄露危害的用戶來說,他們並沒有這種自我保護的意識,那麼強制使用強密碼與手機號註冊是否會導致這部分用戶信息被盜的風險上升呢?

不會。

會在不同網站採用同一個「複雜密碼」的用戶大多數之前在不同網站使用相同的「簡單密碼」,而不是不同的簡單密碼。

手機號註冊增加的是個人隱私泄漏的風險,除非手機丟了或被植入木馬,不然賬戶強度是上升的,因為可以手機找回。即使手機丟了或者被植入木馬,也不過和過去筆記本丟了或被植入木馬風險相當,而不是更高。

毫無疑問會.

記憶不同密碼,還是強密碼的成本很高,而大多數人卻又不會去使用專用的軟體來管理密碼(因為這同樣會帶來較大的附加成本)所以肯定傾向於使用相同的密碼.那麼隨著密碼強度要求越來越高,肯定會變成一個特別複雜的密碼到處用.

下面咱們來按照用戶特點分情況討論:

妄想症型用戶:

所有網站使用強密碼,用專用軟體控制,每隔幾個月更新一次密碼,所有涉及到密碼的操作都在虛擬機里完成...

這種用戶沒什麼可討論的,人數應該也不多,只是可笑的是,大多數網站希望自己的用戶都是這樣的傢伙,絲毫不考慮這種做法將給用戶帶來多大的成本.

混不吝型用戶:

密碼想怎麼設就怎麼設,從不更新,自己的計算機也是一直裸奔.

這種用戶也不多見,多數網站不喜歡這種用戶,因為覺著一旦出事很可能陷入糾紛.然而事實是絕大多數這種用戶並不會因為自己帳號丟失去找網站索賠,因為他們根本就不在乎.

普通用戶:

使用固定的幾種密碼來應付不同類型的帳戶,將最強的密碼分給最需要強密碼的地方,而經常性登陸卻又不重要的網站則使用方便輸入的弱口令.

強行要求強密碼損害的最大的就是這類用戶的安全.原本來說既使弱口令泄露也不至於使涉及到金錢的使用強口令的地方受到波及,但是隨著強口令的強制要求,而記憶額外強口令的成本又太高,這類用戶往往會不得已將少數一兩個強口令分著用出去,而這毫無疑問會增加在面對來自網站方的密碼泄露帶來的安全風險.

舉個例子,我的百度帳號曾經因為資料庫泄露而被盜過,幸得當時使用的是弱口令,我的郵箱地址,各種支付平台都用的是其它密碼.而對我來說,百度帳號泄露也不是什麼大事,後來找回改了另一個密碼就完了.

而如果當時我就被迫使用了強密碼,出於記憶額外密碼帶來的成本上升,我很可能讓它和郵箱共用一個密碼(但還是不太可能上升到涉及到錢的地方的密碼強度),最後的結果就是我的郵箱密碼也被泄露,使用郵箱註冊的其它地方也被泄露.我瞬間SB了.

強制使用強密碼確實可以增加"該網站"自己的安全性,但是對於用戶個人來說,肯定是有副作用的.

手機註冊主要是為了帳號被盜之後能拿回你的帳號,而強密碼是為了增加破解難度,這是兩個層面的問題。

不會。你的問題可以歸結為個人網路安全意識強弱的問題。

我們首先來看看網路安全意識較差的人是怎樣使用網路和設置密碼的:

1、幾乎所有網站、網銀、qq、微信等使用同一密碼。

2、所使用的密碼較為自己or愛人生日+拼音首位、或者+喜歡的英文單詞、1234qwer等按照鍵盤規律排序這類連暴力破解都省去了的密碼。

3、區分不了釣魚網站,看見中獎信息就高興的猛點猛點。

4、無論走到哪都喜歡蹭wifi,甚至於在陌生網路環境下輸入重要密碼開開心心的逛購物網站。

5、喜歡把密碼以明文方式放在電腦里,要命的是這電腦還不設置密碼。

6、輕易相信通過網路向你問錢的熟人打錢。

如果滿足6條的,別有用心的人有一百種方法讓你無聲的哭泣,而你,卻無可奈何。

再來看看網路安全意識較強的人是怎樣使用網路的:

1、將密碼分為幾類進行管理與設置,極重要密碼設置為9位以上無規則包含大小寫甚至特殊字元的,並且不輕易與其他網站的混用。

2、不定時關注網路信息安全事件,了解最新與網路安全相關信息。

3、及時更新各類系統安全補丁。

4、敏感信息使用加密方式傳輸並為敏感信息加密。

5、擁有一定網路架構知識,懂得在什麼網路環境下自己的信息有可能泄露。

6、有定期評估改密碼的習慣。

再回到題主的問題:是否會對那部分用戶造成一定的信息安全風險?

以上對比可以輕易看出這樣的威脅無論是否強制使用手機作為用戶名和強密碼,對網路安全意識較強的人都是不存在的,即使泄露了其他密碼也不會是最高強度的密碼,根本沒有被裝酷的風險,最高強度的密碼泄露了一般來說威脅也不大,因為那類網站都是雙因素以上進行驗證,比如銀行、支付寶,如果郵箱被盜了裡面的文件也有可能被使用不可逆形式加密過的。

反過來看,安全意識差的人只要上網就是一隻大肥羊。

推薦閱讀:

Vancl 和 V+ 的共存,是否會使凡客的定位更加模糊,還是品牌的互補?該公司的此戰略是什麼?
大家公司都是怎麼過萬聖節的,有組織什麼活動嗎?
怎樣在偌大的城市中找到專業的技術人員(程序員)?
如何看待星域cdn?
如何解決css3在老版本IE(IE9及以前)下的兼容性?

TAG:互聯網 | 密碼安全 |