密碼強度計有哪些局限性?

0 評論 3684 瀏覽 3 收藏 7 分鐘

為了引導(dǎo)用戶在創(chuàng)建密碼增強其安全性,許多在線平臺和應(yīng)用都提供了密碼強度計。但密碼強度計還存在一定的局限性,本文就其局限性展開分析,一起來看看吧。

為了引導(dǎo)用戶創(chuàng)建強密碼增強其帳戶的安全性,許多在線平臺和應(yīng)用都提供了密碼強度計,它根據(jù)一定的標準即時評估密碼的強度和安全級別。密碼強度計通常使用顏色來直觀的表示不同的強度級別,紅色表示弱,黃色或橙色表示中密碼強度適中,綠色表示強密碼。

但是密碼強度計有一定的局限性,本文將分析密碼強度計的局限性。

一、有限的評估標準

一些密碼強度計主要基于長度、復(fù)雜性(包含不同的字符類型)等因素評估密碼強度,但往往沒有考慮到人為創(chuàng)建密碼的方式,這可能會導(dǎo)致一種錯誤的安全感。以下是密碼強度計通??赡芎雎缘娜藶閯?chuàng)建密碼的一些示例:

  • 密碼重用:許多用戶在多個帳戶中重復(fù)使用密碼,如果一個帳戶被盜用,所有相同密碼的帳戶都容易受到攻擊,密碼強度計通常不考慮與密碼重用相關(guān)的風(fēng)險。
  • 個人信息:用戶通常在密碼中包含個人信息,例如姓名、出生日期或電話號碼。個人信息很容易在線收集,攻擊者利用個人信息更容易破解密碼。用戶使用個人信息作為密碼的一部分,密碼滿足平臺的要求并從密碼強度計獲得高評級,會給用戶一種錯誤的安全感。
  • 密碼為登錄名的一部分或完全和登錄名相同。
  • 常用密碼:重復(fù)或連續(xù)的字符、常用的單詞及變體(使用數(shù)字或符號的僅外觀類似替換)。 不將其納入考慮會導(dǎo)致密碼強度計將一個安全性較差的密碼(例如“p@ssw0rd1″)評為強密碼,會給用戶一種錯誤的安全感。

建議:

  • 平臺應(yīng)該編制并定期更新基于用戶國籍的常用密碼列表(常用密碼列表來源:SpalshData、NordPass、GitHub 上的“SecLists”等),當用戶創(chuàng)建密碼時,將用戶的密碼與該常用密碼列表進行比較,如果用戶的密碼與列表中的常用密碼匹配,則密碼強度計應(yīng)提供反饋以指示該密碼較弱且可能很容易破解。
  • 平臺應(yīng)該檢查密碼是否包含用戶的登錄名或部分登錄名,當密碼與登錄名匹配或過于相似時,密碼強度計應(yīng)提供反饋以指示該密碼強度較弱且可能很容易破解。

密碼強度計無法根據(jù)個人信息評估密碼強度,原因有以下幾點:

  • 個人信息因人而異,可能不普遍適用于密碼強度評估。文化差異、個人信息的獨特性等因素使根據(jù)個人信息評估密碼強度變得具有挑戰(zhàn)性。
  • 個人信息不斷變化的性質(zhì)會影響密碼強度評估的準確性。
  • 用戶隱私,在密碼強度評估中考慮個人信息會引發(fā)隱私問題。

二、有限的教育和指導(dǎo)

一些密碼強度計只提供密碼強度結(jié)果,但沒有提供為什么是弱密碼或如何改進密碼的具體指導(dǎo)。這可能會導(dǎo)致用戶感到沮喪和困惑,因為他們只能反復(fù)試驗或猜測如何加強密碼。

建議:

  • 實時評估:隨著用戶鍵入或修改密碼,密碼強度計實時評估并提供有關(guān)其強度的即時反饋。
  • 指出弱點:指出密碼中的特定弱點,例如長度不足、缺乏復(fù)雜性、常用密碼等問題。
  • 改進建議:提供如何改進密碼的建議,例如增加密碼長度、包含不同的字符類型或避免使用常用密碼等。

通過提供有關(guān)密碼強度的實時反饋并突出需要改進的地方,用戶可以在創(chuàng)建過程中有目的地更改并加強密碼,使用戶能夠創(chuàng)建更安全的密碼,提高帳戶的安全性。

三、不同的密碼強度計對同一密碼給出不同的強度結(jié)果

用戶在不同的密碼強度計上收到相互矛盾的密碼強度評估結(jié)果,這可能會誤導(dǎo)用戶,使他們難以確定其密碼的真實強度。

總結(jié)

雖然密碼強度計可以作為評估密碼強度的有效工具,但我們必須認識到它的局限性,這些局限性包括有限的評估標準、有限的教育和指導(dǎo)以及不同的密碼強度計對同一密碼給出不同的強度結(jié)果。

為了增強帳戶的安全性,我們應(yīng)該學(xué)習(xí)如何創(chuàng)建高強度密碼。此外,我們應(yīng)盡可能啟用多因素身份驗證 (MFA) 為我們的帳戶提供額外的保護層。

感謝閱讀,以上就是本次分享的全部內(nèi)容,希望你能從這篇文章中有所收獲。

本文由@張楚 原創(chuàng)發(fā)布于人人都是產(chǎn)品經(jīng)理,未經(jīng)許可,禁止轉(zhuǎn)載。

題圖來自 Unsplash,基于 CC0 協(xié)議。

該文觀點僅代表作者本人,人人都是產(chǎn)品經(jīng)理平臺僅提供信息存儲空間服務(wù)。

更多精彩內(nèi)容,請關(guān)注人人都是產(chǎn)品經(jīng)理微信公眾號或下載App
張楚
交互設(shè)計師,曾就職于獨角獸公司。VX公眾號:交互設(shè)計師張楚
7篇作品 25426總閱讀量
07-214538 瀏覽
一個故事告訴你,ERP、CRM之類的系統(tǒng)業(yè)務(wù)范圍及相互關(guān)系
03-072356 瀏覽
沃爾瑪和勞氏等頂級零售商進入元宇宙:如何利用Web3、VR和AR的力量
03-022223 瀏覽
XR內(nèi)容再“失頭”?
10-131155 瀏覽
MarTech?-CDP實戰(zhàn)手冊-CDP交付階段-看板構(gòu)建(十二)
11-081017 瀏覽
本地生活再起波瀾,美抖貼身肉搏
評論
評論請登錄
  1. 目前還沒評論,等你發(fā)揮!