用户口令现状调查与分析

摘 要

本文以现如今普遍存在的“密码危机”为入口点，分析了现在国内外用户口令设置的特点和危害，然后介绍了一些常用的密码管理软件并就如何设置安全性高的口令提出建议。

【关键词】用户口令 密码危机 身份

1 调查背景

使用口令进行身份验证是一种古老、易于实现，也是比较有效的身份认证手段。现如今很多系统都采用口令认证的方式把好第一道关，然而，近年来有关网络密码泄露、黑客入侵、用户私密信息曝光等新闻屡见不鲜，对黑客来说，利用暴力或其他方法破解网站数据库是轻而易举，其中很大的因素都是因为用户使用了弱口令，即那些容易被他人猜测或被暴力工具破解的口令。

2 用户口令现状调查

2.1 我国

近些年，我国发生了不止一起的密码泄露的案件，在乌云漏洞平台的弱口令事件，通过搜索“弱口令”可以发现很多弱口令的信息。通过对这些网站大量的用户密码的统计和分析，我们发现了很多相似的密码，并得到了如表1的统计结果。

由此可见，密码设置最多的还是纯数字，而且相似度很高，很容易猜测，风险极大。对不同密码类型及特殊字符分析总结后，我们得到表2。

表2显示，和用户名相关或E-mail、手机号比较受欢迎，另外，人们也很喜欢用自己的生日作为密码，这些方式都很不安全，特别是对于了解用户的入侵者而言，很容易就能通过个人信息猜解到用户密码。

2.2 国外

据报道，不久前，美国密码管理应用程序提供商公开了2015年度最弱密码，“123456789”，“password”，“football”等再次中枪，尽管黑客猖獗，数以万计的网名密码被盗，可是很大一部分用户似乎并没有因此提高安全意识，从今年的榜单来看，人们设置密码的偏好也会受当年流行元素影响，比如设置电影中的经典台词，如《星战7》中的“princess”。

3 口令空间及密码熵的概念

我们用口令空间和密码熵来衡量一个密码的安全性大小。

我们定义口令空间=A^L ，其中A表示口令的字符空间，L表示口令的长度。口令空间越大越安全。

更为精确的衡量标准是密码熵。密码的破解难度依赖于密码的不确定性，与密码本身包含的信息量有着直接的关系，密码提供的信息量越大，其不确定性就越小，也就越容易破解，反之。

用位表示的熵（H）计算公式如下：

H=log2（b^m）

其中b表示密码的字符空间，m表示密码密码的长度，公式表明，密码长度一定时，随机选取的密码强度最大。因此要想让自己的密码更加安全，根据密码熵的公式，显然，扩大字符集数量或者密码长度，以及尽可能随机的密码组合会更加可靠。

5 建议

根据上述分析，为了防止自己的口令被破解而造成不必要的麻烦，我们给出如下建议以提高口令强度和安全性：

5.1 口令长度不要太短

除特殊要求一般至少设置在8位以上。位数太短，使用暴力破解很容易。

5.2 口令组成不要太单一

不仅要有数字、大小写字母，还要加入若干特殊符号，比如#、$、%等。

5.3 口令内容不要是很容易理解或猜解的

比如不要用生日、电话号码、单词、句子等。这种方法很危险，因为黑客随时可以从一些社交网站上获得你的个人信息。最好设置复杂、方便记忆的个性口令。比如使用诗句的开头字母：“病树前头万木春”――bsqtwmc，或者使用一些公式：1$=6RMB，即1美元等于6元。

5.4 口令最好定期更换

使用密码管理软件；不要多处使用同一个口令（防止黑客一旦破解其中一个便能很容易得到其他口令）；不要无意间向他人透露自己的口令密码（社会工程学）等等。

5.5 使用一次性口令认证

对于安全级别要求很高的系统，如银行取款系统，建议使用一次性口令认证，如动B令牌。

6 结语

种种泄露事件一次又一次向人们敲响警钟，黑客随时利用漏洞进行攻击。我们要做好全面防范，首先就是要让自己的密码变的可靠。本文介绍的一些注意事项和方法希望能给大家一些启发，加强密码强度，保护好个人隐私安全。

参考文献

[1]魏为民.国内网络用户密码分析[M].上海：电力学院出版社，2013（12）.

[2]胡旭.计算机口令的设置与技巧[D].辽宁林业学院，2012（04）.

[3]严霄凤.基于熵的密码强度估值[Z].北京：中国赛迪实验室中国软件评测中心.2013（11）.

作者单位

重庆大学 重庆市 400044