关于区块链的演讲稿:世界密码日 | 警惕!你的密码是“弱密码”吗?

  七年前的五月,Intel Security 受到安全研究人员启发,为了提升大众对口令安全的认识,把五月的第一个星期四作设定为“World Password Day”。今天,我们就与大家聊一聊“口令”。

  

  1. 身份认证

  口令是身份认证的一种方式。无论在互联网世界或是在区块链系统中,身份认证是保障系统安全的重要手段之一。身份认证是识别和确认数据或者实体真实性的一种行为。按照认证因素来看,一般常用的有以下三类:

  - 基于知识(knowledge)的认证:即用户所知道的。口令以及 PIN 码和安全问题等都属于这一类;

  - 基于所有权(ownership)的认证:即用户所拥有的。身份证件、不同类型的各种令牌、数字证书都是属于此类的认证方式;

  - 基于生物学特征(inherence)的认证:即利用用户的生物特征或者行为特征等进行认证。比如,指纹、声纹、虹膜、步态以及 DNA 序列等都属于此类。

  

  2. 口令以及口令安全

  我们目前所知的计算机口令,由图灵奖获得者 Fernando Corbató 博士在上世纪六十年代改进分时系统的过程中发明。在分时系统中,Fernando 博士用口令来保护个人用户文件不被随意访问。这也是最早的计算机安全机制之一。和其它认证方式相比,无论是从部署的简易性和部署成本上看,还是从可撤销和可更改性等安全方面看,口令都具有一定的优势。因此,自从互联网普及以来,口令成为了一种广泛应用的身份认证方式。

  

  在实际使用中,互联网应用爆发增长,海量的互联网服务依赖于口令作为身份认证方式,这又要求用户需要记忆大量复杂的口令。但从生物学上看,人类不太可能记住很多复杂的口令。这导致了同一个口令在不同服务中重复使用的情况出现以及很多弱口令的存在。这大大降低了口令的强度,影响了口令的安全性。

  一方面,口令的安全性受限于用户选择口令的强度。口令需要具备一定的强度,即具有较高的信息熵。但一般来说,在没有指导的情况下,口令的选择具有偏向性,会偏好于特定的组成和长度,如常见的姓名生日组合。据知名分析公司 SlashData 等调查,“123456”、“qwerty”以及“password”等都是常见的弱密码。其中“123456”更是弱密码排行榜上长居榜首。弱口令几乎等同于没有口令,很容易被在线/离线猜测攻击攻破。

  

  另一方面,口令的安全性受限于服务提供商的安全性。服务提供商一般需要设置用户口令生成策略用以指导用户生成具备一定强度的口令。另外,服务提供商对口令如何处理和保存也是影响安全的重要因素。加盐保存以及加密传输是保护口令的基础手段。另外,对口令的脱库和撞库攻击也屡见不鲜。因此,如何防止被脱库也是服务提供商应该考虑的安全目标。

  3. 如何保证口令安全?

  对于普通用户来说,首先避开姓名生日组合、“123456”等弱口令,选择一定强度的口令。一般来说,挑选一定长度随机字符值来作为口令会使得口令强度大大增加。另外,在不同网站上应该采用不同的口令。由于随机口令难以被记忆,用户可以使用口令管理器来管理口令。

  

  其次,用户在可能的情况下应采用双因子认证(2-FA)甚至是多因子认证。双因子认证在口令认证的基础上还需要通过另外一种方式的认证,比如 Google Authenticator 的认证令牌、短信验证码以及邮件验证码等,这大大降低了身份认证被攻破的可能性。

  4. 结语

  虽然今天 FIDO 等组织致力于改进身份认证方式,但目前来看口令是身份认证广泛应用的一种重要方法。很多时候,用户会根据服务提供商的不同来决定口令强度,例如在 ONTO 钱包上会采用强度很高的口令,而在 WIFI 设置上可能会选择“244466666”或者“meiyoukouling”这样的口令。

  

  希望各位聪明的小伙伴们都能够提高对口令安全的认识,切实保护数字资产的安全。小伙伴也可以私信我们,讲讲你们设置过什么有趣的口令。当然,请不要把保护数字资产的口令告诉我们,我们会假装看不到的。

文章内容系本站作者个人观点,不代表本站对其观点赞同或支持,文章的版权归该作者所有。如需转载,请注明文章来源。本文地址:http://www.cis.net.cn/kejikuaixun/44350.html
留言与评论(共有 条评论)
验证码:

最新文章

世界密码日 | 警惕!你的密码是“弱密码”吗?

科技快讯
七年前的五月,IntelSecurity受到安全研究人员启发,为了提升大众对口令安全的认识,把五月的第一个星期四作设定为“WorldPasswordDay”。今天,我们就与大家聊一聊“口令”。1.身份认证口令是身份认证的一种方式。无论在

区块链技术正在塑造互联网的未来

科技快讯
因特网一度被视为是一个开放的、不受限制的信息和通信时代,但现在它已经演变成一个网络,由许多集中的、封闭的系统组成,以获取价值,而这些系统往往会带来被忽视和不利的后果。以下是区块链如何改变这一切。互联网的使用及其不同方面已经暗示了全球许多对话,集中的服务提供商控制个人/区域互联网接入和数据存储在世界许多地区被视

比特币的开发者解释了加密货币将如何失败

科技快讯
再过几个月,中本聪(SatoshiNakamoto)创建的比特币网络就将满11年了。数字现金系统已经存在这么长时间,这是一个伟大的成就,但这仍然是一个可能失败的实验项目。有人预测,比特币的价格将在到2019年底达到42,000美元,到2021年底达到10万美元,但正如Blockstream

如何做到秒记哈希地址?

科技快讯
当下的区块链系统中,智能合约地址和账户地址都是一串复杂冗长的哈希字符串,显然不适合大脑记忆。有没有一种简短、便于记忆的短句,可以在使用时替代这些哈希字符串?所以,我们需要NNS(NeoNameService)解决方案。NNS是一种链上域名解析服务,可以将复杂冗长的字符串简化成符合某种格式的简单短句。举个例子,购买商品时需要填写一个至少

区块链促进医学数据的兴起

科技快讯
无论是在电子病历还是促进科学研究方面,区块链技术越来越被人们作为存储医疗数据的解决方案。虽然这项技术可能为医疗保健和生命科学部门提供令人振奋的前景,但企业必须确保任何系统的操作和体系结构都符合数据保护法律,随着欧盟总数据保护条例2016/679(GDPR)的出现,这可能会

2018年影响GMO互联网加密货币挖矿工作的四大变化

科技快讯
GMO互联网是世界上从事加密货币挖掘的最大实体之一。多年来,这家日本公司一直大力支持比特币和其他加密货币。由于他们的采矿企业,在这方面他们下一个关键发展是非常值得关注的。1.解决网络犯罪问题加密货币世界已经意识到一个紧迫的问题“网络钓鱼”。这种犯罪活动同样适用于重要的行业人物和公司。对于GMO互联网,该公司于2018

海医链XMEDChain首个医疗区块链+AI数据分析平台

科技快讯
XMC运用区块链本身的去中心化技术、共识机制、信任机制、防篡改、信息透明、共监管和完全保密的特性的优势,将全球每一个人的病历或健康数据分离个人私隐信息后置于区块链中,链接数据后用AI技术助用户分析出客观、精准和多角度的全球化医疗建议方案。我们的愿景是建立一个面向所有人

ASCH阿希链周报(12.22~12.28)

科技快讯
技术进展阿希主链?ASCHV1.4.7版本发布及更新;?进行1.5版本新手续费方案部分的测试工作;?完成交易记录重构,增加智能合约调用记录。智能合约?完成超大交易广播功能;?完成asch-core智能合约调用验证;?完成智能合约编译错误信息收集功能;?完成1.4.7版本中节点网络验证