密码强度计有哪些局限性?

0 评论 3597 浏览 3 收藏 7 分钟

为了引导用户在创建密码增强其安全性,许多在线平台和应用都提供了密码强度计。但密码强度计还存在一定的局限性,本文就其局限性展开分析,一起来看看吧。

为了引导用户创建强密码增强其帐户的安全性,许多在线平台和应用都提供了密码强度计,它根据一定的标准即时评估密码的强度和安全级别。密码强度计通常使用颜色来直观的表示不同的强度级别,红色表示弱,黄色或橙色表示中密码强度适中,绿色表示强密码。

但是密码强度计有一定的局限性,本文将分析密码强度计的局限性。

一、有限的评估标准

一些密码强度计主要基于长度、复杂性(包含不同的字符类型)等因素评估密码强度,但往往没有考虑到人为创建密码的方式,这可能会导致一种错误的安全感。以下是密码强度计通常可能忽略的人为创建密码的一些示例:

  • 密码重用:许多用户在多个帐户中重复使用密码,如果一个帐户被盗用,所有相同密码的帐户都容易受到攻击,密码强度计通常不考虑与密码重用相关的风险。
  • 个人信息:用户通常在密码中包含个人信息,例如姓名、出生日期或电话号码。个人信息很容易在线收集,攻击者利用个人信息更容易破解密码。用户使用个人信息作为密码的一部分,密码满足平台的要求并从密码强度计获得高评级,会给用户一种错误的安全感。
  • 密码为登录名的一部分或完全和登录名相同。
  • 常用密码:重复或连续的字符、常用的单词及变体(使用数字或符号的仅外观类似替换)。 不将其纳入考虑会导致密码强度计将一个安全性较差的密码(例如“p@ssw0rd1″)评为强密码,会给用户一种错误的安全感。

建议:

  • 平台应该编制并定期更新基于用户国籍的常用密码列表(常用密码列表来源:SpalshData、NordPass、GitHub 上的“SecLists”等),当用户创建密码时,将用户的密码与该常用密码列表进行比较,如果用户的密码与列表中的常用密码匹配,则密码强度计应提供反馈以指示该密码较弱且可能很容易破解。
  • 平台应该检查密码是否包含用户的登录名或部分登录名,当密码与登录名匹配或过于相似时,密码强度计应提供反馈以指示该密码强度较弱且可能很容易破解。

密码强度计无法根据个人信息评估密码强度,原因有以下几点:

  • 个人信息因人而异,可能不普遍适用于密码强度评估。文化差异、个人信息的独特性等因素使根据个人信息评估密码强度变得具有挑战性。
  • 个人信息不断变化的性质会影响密码强度评估的准确性。
  • 用户隐私,在密码强度评估中考虑个人信息会引发隐私问题。

二、有限的教育和指导

一些密码强度计只提供密码强度结果,但没有提供为什么是弱密码或如何改进密码的具体指导。这可能会导致用户感到沮丧和困惑,因为他们只能反复试验或猜测如何加强密码。

建议:

  • 实时评估:随着用户键入或修改密码,密码强度计实时评估并提供有关其强度的即时反馈。
  • 指出弱点:指出密码中的特定弱点,例如长度不足、缺乏复杂性、常用密码等问题。
  • 改进建议:提供如何改进密码的建议,例如增加密码长度、包含不同的字符类型或避免使用常用密码等。

通过提供有关密码强度的实时反馈并突出需要改进的地方,用户可以在创建过程中有目的地更改并加强密码,使用户能够创建更安全的密码,提高帐户的安全性。

三、不同的密码强度计对同一密码给出不同的强度结果

用户在不同的密码强度计上收到相互矛盾的密码强度评估结果,这可能会误导用户,使他们难以确定其密码的真实强度。

总结

虽然密码强度计可以作为评估密码强度的有效工具,但我们必须认识到它的局限性,这些局限性包括有限的评估标准、有限的教育和指导以及不同的密码强度计对同一密码给出不同的强度结果。

为了增强帐户的安全性,我们应该学习如何创建高强度密码。此外,我们应尽可能启用多因素身份验证 (MFA) 为我们的帐户提供额外的保护层。

感谢阅读,以上就是本次分享的全部内容,希望你能从这篇文章中有所收获。

本文由@张楚 原创发布于人人都是产品经理,未经许可,禁止转载。

题图来自 Unsplash,基于 CC0 协议。

该文观点仅代表作者本人,人人都是产品经理平台仅提供信息存储空间服务。

更多精彩内容,请关注人人都是产品经理微信公众号或下载App
评论
评论请登录
  1. 目前还没评论,等你发挥!