烦人的密码规则实际上让我们更不安全 - 《华尔街日报》

您所在的公司网络或经常访问的网站是否因为宣布旧密码已过期而强制您设置新密码？

如果您觉得这很烦人，那么您并不孤单。研究人员表示，更糟糕的是：这实际上对网络安全有害。

定期更换密码的策略是众多糟糕或无效的密码实践之一，这些实践使得登录网站、应用程序和服务比以往任何时候都更加复杂和烦人。

我们不仅仅是在谈论政府和公司IT系统的问题，尽管它们可能是最严重的违规者之一。根据普林斯顿大学研究人员的最新论文，包括苹果、微软、Instagram和LinkedIn等在内的公司和服务都有不尽如人意的密码政策。

普林斯顿大学计算机科学教授、关于糟糕密码政策的论文作者之一阿尔温德·纳拉亚南表示，这些密码政策可能会增加个人账户被入侵的机会，尤其是如果用户没有使用额外的账户安全措施，如双重认证。

根据多项研究，强制定期更改密码，虽然看似是重置可能已泄露密码的逻辑方式，但实际上往往会让人们更倾向于选择弱密码。另一个有缺陷但常见的做法是限制密码中可以使用的字符组合，或强制用户在密码中包含特殊字符。事实证明，这些规则通常也不会导致更安全的密码。

确实，未来我们或许能够摒弃某些账户的密码，而且企业在黑客入侵后的网络防御方面也日益精进。但卡内基梅隆大学安全与隐私技术教授洛丽·克兰诺指出，目前密码仍是访问个人账户乃至无数其他关键系统几乎通用的"前门"。

专家表示，定期更新密码等要求反而导致用户选择更简单易猜的密码。图片来源：雅库布·波尔齐茨基/NurPhoto/Getty Images### 人性+墨菲定律

克兰诺博士在网络安全领域较为独特，她的研究既关注技术构建与应用，也聚焦人类行为。通过观察普通人对机构网络安全政策（包括密码规则）的实际反应，她揭示了关于大多数人的几个基本事实。

简而言之：在网络安全方面，人们聪明但懒惰。而且我们的行为具有惊人的可预测性。

当这些特质与那些初衷良好却重规则轻实效的网络安全政策相结合时，便为黑客创造了可乘之机——他们能轻易利用由此产生的弱密码和其他不良安全习惯。（若要查看采用此类规则的网站，可访问众筹网站dumbpasswordrules.com。）

最顽固且普遍存在的糟糕密码策略之一，就是要求用户定期为其最关键账户（通常是工作账户）更换新密码。

这项政策可追溯至几十年前。最初的设想是：如果密码遭泄露，定期重置能将攻击者挡在系统之外。

但根据人类"聪明却懒惰"的行为法则，当你强迫人们定期更新账户密码时，出于挫败感，他们往往会选择系统能接受的最简单密码。克兰诺博士指出，面对反复强制重置，人们倾向于以完全可预测的方式修改现有密码，例如逐步增加末尾数字。

人们可能认为这样做很聪明，但黑客熟知所有这些把戏。原因之一是网络上充斥着数百万被盗密码的数据库。如果把黑客视为某种社会科学家和人类心理研究者，这些数据库就是供他们研究的庞大数据集。

早在2016年，当克兰诺博士担任美国联邦贸易委员会首席技术专家时，她就公开呼吁企业停止要求用户这样做。2019年，微软不再建议IT管理员强制要求定期更改密码，称这种做法是"古老过时、价值极低的风险缓解措施"。

然而，这一政策仍在延续。克兰诺博士指出，其中一个原因是：对于企业安全负责人而言，增加规则和限制在管理层眼中是积极作为，而取消这类规则反而可能引发公司高层对安全性的质疑。另一个问题在于，被众多机构奉为网络安全政策金科玉律的美国国家标准与技术研究院（NIST）官方指南，直到2019年才停止建议定期修改密码。

“奇怪的是，某些过时的密码守则已演变成某种信仰。”纳拉亚南博士表示

密码与AI的博弈

克兰诺博士解释道，黑客正越来越多地运用机器学习算法（人工智能的一种形式）来分析海量被盗密码，不仅能识别最常用密码，还能发现人们在必须设置新密码时最常用的修改模式。

最新研究显示，来自中国多所高校和澳大利亚新南威尔士大学的研究人员证实，新一代生成式人工智能在预测用户修改密码行为方面已极为精准——我们对密码进行微小修改的习惯，可能像重复使用密码一样对网络安全构成重大威胁。

如今，我们所有人的密码几乎都曾在数据泄露事件中公开过，因此黑客们早已摸透了你的习惯——比如你总爱用宠物名字稍加修改作为重复使用的密码。

请停止使用这些密码

纳拉亚南博士指出，企业密码策略（包括亚马逊、网飞和Zoom等公司为用户制定的规则）的另一常见弊端是：允许用户设置那些最易被猜中的常见密码组合。

想将亚马逊密码设为"12345678"？与纳拉亚南博士合著论文的研究科学家凯文·李表示确实可以这样设置。但黑客和身份窃贼可能会感谢你的慷慨。

纳拉亚南博士及其合著者收集的数据显示，在120个最著名的网站和服务中，有71家未对最高频使用的简易密码采取任何拦截措施。

另一项既糟糕又长期困扰用户的密码政策是强制要求包含特殊字符。论文第三作者斯滕·舍贝里解释，早期制定这条规则的逻辑在于：特殊字符能增加密码复杂度，从而加大攻击者的破解难度。

但克拉诺博士指出，现实中这反而促使人们设置更简短易猜的密码——比如仅在末尾加个感叹号应付了事。

仅提供更完善的安全措施远远不够

对网络安全有所了解的读者此刻可能已经愤怒地举手投降了。当然这些都是糟糕的密码策略！但如果一个人在其最重要的账户上使用双重认证，并且使用密码管理器为每个登录的账户生成独特且复杂的密码（密码管理器——每个人都应该采用——可以生成强密码、存储它们并自动填入应用和网站），这些策略还重要吗？

如果人们确实在使用这些工具，或许不重要。但多年调查揭示的问题是，尽管人们有更好的方式来保护账户安全，但这他们未必会这么做。实际上，密码管理服务BitWarden背后的公司最近进行的一项全球调查发现，只有34%的人使用密码管理器。其他调查则显示这一数字可能低至10%。

关于双重认证的统计数据较难获取，这种认证方式要求用户提供第二个秘密（如短信发送的验证码）来验证身份。例如，谷歌对谷歌账户双重认证的低采用率（2018年仅为10%）感到非常沮丧，以至于在2021年，该公司开始默认对1.5亿账户启用该功能。

类似地，微软自2014年起要求每个消费者微软账户使用某种形式的双重认证。而自2021年起，该公司允许所有用户完全无密码登录，转而使用一种名为“通行密钥”的新技术。通行密钥的工作原理是在用户设备与云端计算机之间交换秘密信息，用户只需通过面部识别等方式向设备验证自己的身份，无需其他操作。

微软身份与网络访问部门的企业副总裁亚历克斯·西蒙斯表示，上个月有2.67亿人通过无密码登录方式（如微软基于生物识别的Windows Hello系统）使用微软服务，占其系统总登录量的四分之一。

西蒙斯先生称：“我们的观点是密码从根本上存在缺陷，与其试图修复它们，不如将其视为整体身份验证流程中的一小部分，核心在于确认’你是否是你声称的那个人’。” 该用户身份验证"流程"包括检测是否从新设备登录、微软机器学习系统是否识别到账户异常行为，以及登录尝试的地理位置。

图为微软办公室，该公司已不再建议IT管理员强制要求定期重置密码，称这种做法"过时且无效"。图片来源：Chona Kasinger/彭博新闻### 请将以下内容转发给您的IT管理员

那么，密码和网络安全政策的最佳实践究竟有哪些？

首先，企业应停止强制用户定期更改密码。其次，禁止使用任何公开泄露密码列表或易猜测密码。第三，在用户输入密码时提供实时强度评估——并确保该工具基于最新研究数据。第四，不强制要求密码包含特殊字符。第五，鼓励用户设置比平常更长的密码。

此外，强制用户采用基于设备的双重身份认证能显著提升任意账户的安全性。同样地，鼓励用户使用密码管理器也大有裨益。（企业们，何不让员工报销这类工具费用？）最后，通过通行密钥实现无密码登录的转型，为我们提供了超越现行安全标准的机会——这种新潮且便捷的方式，目前已知的破解手段更少。

总而言之，提升个人与组织安全的关键在于制定符合现实人类行为的网络安全政策。

“我认为安全问题始终是每个人的责任，只是现在我们才真正意识到这一点，“克兰诺博士表示，“而设计完善的安全系统有助于减轻团队中非安全专家的负担。”

欲获取更多《华尔街日报》科技板块的分析、评测、建议及头条新闻，请订阅我们的每周通讯。

联系克里斯托弗·米姆斯，邮箱：[email protected]

本文曾以《密码政策反而降低安全性》为题发表于2023年3月11日印刷版。