在科学的帮助下选择更好的密码

多年来，计算机用户被告知他们应该有复杂的密码，包括数字、标点符号和其他符号以及大写和小写字母。 尽管人们很难记住这些密码，但人们被告知不要写下密码，并被迫频繁地编出新密码。 用户尽职尽责地遵守规则——使用密码的第一个字母，添加“1”或出生年份，或者用感叹号结束密码。

大多数人不记下来就记不住很多密码，所以他们一遍又一遍地重复使用少量的密码。 当他们被要求更改密码时，他们将“1”增加到“2”或添加另一个感叹号。 这些处理复杂密码的简单步骤非常常见，实际上使攻击者更加容易。

作为密码安全的研究人员，我们已经知道，大多数密码建议实际上不是基于科学知识。 为了解决这一问题，我们一直在进行关于密码要求对安全性和可用性的影响的实验。 联邦政府最近修改了密码建议，以呼应我们的一些研究结果。

保护电脑密码

我们花了几年时间来模拟不同的密码破解方法是如何工作的，以更好地理解攻击者如何猜测密码，并开发一个准确的密码强度度量。 那些试图打入在线账户的人不仅仅是坐在电脑前做一些猜测。 许多攻击者能够从大公司窃取整个密码数据库——例如，雅虎、Linked In、Adobe、阿什利·麦迪逊和其他许多人就是如此。 密码是为了安全而加码的，所以攻击者必须进行大量猜测才能解开密码。 但电脑程序让他们在短短几个小时内就能做出数百万或数十亿的猜测。

他们可能首先猜测字典中所有最流行的密码和单词，然后在每个密码和单词中添加“1”，然后再用每个其他数字和符号，然后用第一个字母大写，以此类推。 最终的结果是，所有复杂的密码策略都不会阻止——甚至实际上是放慢——破解许多用户的密码。

更糟糕的是，一旦攻击者猜测用户的一个帐户密码，他通常会尝试在用户的其他帐户上使用相同的密码。 由于用户倾向于重用密码，这可能是非常成功的。 一个攻击者破解了你八年前注册的一些网站的密码，忘记了，现在可以访问你的电子邮件，你的社交网络帐户和你的银行帐户。

所有这些计算能力被应用于破解密码意味着用户需要超越选择对人类来说很难猜测的密码：密码需要计算机很难弄清楚。

测试对密码强度的看法

我们的研究为教人们如何使用密码安全的新理解提供了参考。 超过5万人参加了我们的在线实验，每个人都创建了一个符合随机分配要求的密码：例如，“至少12个字符长”或“必须包括小写字母和大写字母、数字和符号”。 我们测量了密码的实际强度、参与者几天后记住密码的能力和其他指标。 我们还分析了我们大学的学生、教职员工创建的真实密码。

我们的数据表明，人们对密码有许多误解，比如相信在密码的末尾加上一个数字或感叹号会使密码更强大。 这个问题非常普遍，我们创建了一个在线问答游戏，以帮助消除其中的一些误解。

此外，我们的数据表明，鼓励更长的密码（至少12个字符）比复杂的密码更重要。 同时，我们还了解到，一些用户创建的长密码仍然是可预测的——比如“密码”或“xxxxxxxxxxxx”。

我们还了解到，在人们创建新密码的时候给他们反馈是有帮助的。 这通常采取所谓的“密码表”的形式，即颜色编码信号，指示一个人是选择了弱密码还是选择了非常强的密码。

虽然互联网上的大多数密码计提供了不准确的分数，有时还提供了令人怀疑的建议，但我们开发了一种密码计，它使用人工神经网络根据对数百万其他密码的分析来计算这些密码的强度。 此外，当它识别一个弱密码时，我们的仪表就会立即提供什么使它更强大的建议。 例如，如果一个人把所有的数字放在密码的末尾，我们的系统可能建议把它们移到中间。

创建强大的密码

我们的研究导致我们制定了一些具体的建议，以选择密码，为在线帐户和它们包含的数据提供良好的保护。 在这个过程中，一个关键的帮助是使用密码管理器生成长而随机的密码-并为您记住它们。

如果你自己做密码：

重复使用你现有的密码可能很诱人，但不要对你关心的任何帐户使用。 如果你的密码比你能记住的多，或者更好地使用密码管理器，最好把你的密码写在一个安全的地方。

您还可以保护您的帐户，而不会使您的密码更复杂，使用双因素身份验证时，它提供-这比大多数人认为更容易。

密码是网络生活中令人讨厌的一部分，但它们不会很快消失。 虽然过去十年的密码策略给用户带来的痛苦大于安全增益，但我们的研究正在帮助找到方法来创建密码，这实际上是为普通人工作，同时使我们更安全。