口令，又稱密碼，英語(yǔ)為Password或Passcode。得益于其近乎零成本的優(yōu)勢(shì)，它是我們最常使用的安全工具。通常口令在我們?cè)诔跏蓟~號(hào)和系統(tǒng)的時(shí)候設(shè)置，當(dāng)再次進(jìn)入系統(tǒng)的時(shí)候被提示并輸入，從而讓我們獲得對(duì)系統(tǒng)的訪問(wèn)權(quán)限。根據(jù)其組成，口令包括文本口令、圖形口令。文本口令由字符組成，使用鍵盤輸入較方便;而圖形口令由各種圖形構(gòu)成，使用觸摸屏輸入較方便。

一枚好的口令需要做到三點(diǎn)：好記、好輸且難猜。好記，要求這枚口令盡可能簡(jiǎn)單;好輸，要求這枚口令盡可能簡(jiǎn)短;而難猜，則要求這枚口令盡可能復(fù)雜而冗長(zhǎng)。鑒于上述三點(diǎn)存在矛盾，要同時(shí)滿足這三點(diǎn)并不容易。而且，如果考慮到當(dāng)前一個(gè)人可能擁有大量的賬戶和口令，保障一個(gè)人擁有多枚好的口令則更為不容易。

[[206914]]

為保障一枚好的口令，早期通常使用規(guī)則驅(qū)動(dòng)的方式，譬如要求用戶在創(chuàng)建口令時(shí)，確?？诹畋仨氂蓴?shù)字、大寫字母、小寫字母、特殊字符等不同字符類型組成，且一個(gè)口令必須包含兩種或兩種以上的不同種類的字符，并且口令的長(zhǎng)度必須不少于8個(gè)字符;在不同賬戶中的口令必須不同。然而，當(dāng)前的深入研究發(fā)現(xiàn)，實(shí)施上述四項(xiàng)規(guī)則并不能保證生成一枚平衡好記、好輸且難猜這三點(diǎn)的好口令。因此，當(dāng)前的主流研究通過(guò)口令猜測(cè)攻擊的角度，建議用戶使用非常少見(jiàn)的口令。這里的少見(jiàn)，既會(huì)要求非常復(fù)雜，又要求與其它已知口令比較，使得既不是重復(fù)出現(xiàn)的口令，也不是經(jīng)過(guò)簡(jiǎn)單變形的口令。這里給研究人員出了一個(gè)難題：如何判定一枚口令在當(dāng)前網(wǎng)絡(luò)空間是“少見(jiàn)”的?為此，研究人員提出了數(shù)據(jù)驅(qū)動(dòng)的方法：將已知口令作為訓(xùn)練集，訓(xùn)練一個(gè)口令猜測(cè)模型，對(duì)用戶創(chuàng)建的口令進(jìn)行猜測(cè)，如果猜測(cè)次數(shù)非常多或者猜不到，則判定為好口令。由于已知口令集數(shù)據(jù)量龐大，所訓(xùn)練出的模型也非常復(fù)雜，不適合直接放在用戶瀏覽器或其他客戶端。因此有兩種方案用于這一基于數(shù)據(jù)驅(qū)動(dòng)方式的對(duì)保障好口令的方案，一種是將模型預(yù)先訓(xùn)練好并進(jìn)行有效壓縮，然后放置在客戶端對(duì)創(chuàng)建的口令進(jìn)行猜測(cè)，這一方式響應(yīng)速度快，且不需要傳輸用戶口令;另一種是將創(chuàng)建的口令實(shí)時(shí)地安全傳回服務(wù)端，由服務(wù)器端的模型進(jìn)行判斷，這一方式由于模型的完整能獲得更準(zhǔn)確的結(jié)果。

圖表 1猜測(cè)攻擊模型示例

口令由人來(lái)創(chuàng)建，因此擁有強(qiáng)烈的個(gè)性屬性。有的人喜歡字母輸入，有的人喜歡數(shù)字輸入，于是有了偏好字母和偏好數(shù)字兩種口令;有的人喜歡用一段話或者一首詩(shī)詞作為口令，有的人喜歡用電話號(hào)碼作為口令，而更多的人則喜歡用自己或者親人的生日作為口令。我們的研究表明，用戶創(chuàng)建時(shí)，會(huì)由于生活習(xí)慣，文化氛圍的不同，在創(chuàng)建口令時(shí)帶有強(qiáng)烈的區(qū)域特征。譬如中國(guó)人喜歡用拼音，特別是全拼作為口令;中國(guó)人喜歡用數(shù)字來(lái)組成口令，而歐美用戶更加樂(lè)意使用字母組成口令，盡管大家的鍵盤都是一樣的。理解這些特點(diǎn)，對(duì)于我們創(chuàng)建和判斷好的口令非常重要。

圖表 2口令認(rèn)證系統(tǒng)示例

盡管當(dāng)前已經(jīng)對(duì)口令是否能夠保護(hù)用戶的系統(tǒng)安全提出各種疑問(wèn)，但以其在保護(hù)系統(tǒng)安全方面的高性價(jià)比絕對(duì)優(yōu)勢(shì)，口令將持續(xù)存在，并有效保護(hù)用戶在網(wǎng)絡(luò)空間中的各類活動(dòng)。

【本文為51CTO專欄作者“中國(guó)保密協(xié)會(huì)科學(xué)技術(shù)分會(huì)”原創(chuàng)稿件，轉(zhuǎn)載請(qǐng)聯(lián)系原作者】

戳這里，看該作者更多好文