|
圖片來源:網(wǎng)絡 自2011年起�����,美國網(wǎng)絡安全公司SplashData每年都會通過分析遭泄露的密碼�����,發(fā)布一份年度最常用密碼榜單�����。像“abc123”��、“123456”��、“l(fā)etmein”(讓我登錄)這樣極易破解的密碼幾乎每一年都會上榜����,不難看出�,人們在設置密碼的時候真的沒有花太多心思���。可有一個每次都會進入榜單前20名的常用密碼卻相當與眾不同:“dragon”(龍)�����。 但原因何在呢�?可能是因為電視劇《權力的游戲》的風靡,這部劇的第一季在2011年播出�,正好也是SplashData發(fā)布榜單的第一年;也可能是因為遭泄密的用戶中����,有很多都是《龍與地下城》游戲(Dungeons & Dragons)的忠實粉絲。好吧����,這些原因都不無道理。但最有說服力的解釋其實比你想象的要簡單得多�����。 尋根究底 “dragon”在榜單上略顯格格不入����,并不是因為SplashData公司分析常用密碼的算法出了問題。內容管理系統(tǒng)WordPress在2017年也發(fā)布了相似的密碼清單��,清單通過安全顧問Mark Burnett對平臺數(shù)據(jù)的分析整合而成����,在榜單中,“dragon”占據(jù)了第十名的位置�。在密碼管理程序公司Keeper Security于2016年發(fā)布的榜單中,“dragon”沒有上榜����,因為這份榜單重點分析的是那些機器人賬號。而前100名的常用密碼數(shù)年來的排位都比較穩(wěn)定����,這似乎排除了《權力的游戲》這個原因。 “我確信���,我的書里列了有數(shù)百個包含‘dragon’字眼的密碼���,”安全顧問Mark Burnett說,他于2005年出版了一本名叫《完美密碼》(Perfect Passwords)的相關圖書�。“人們通常會在密碼中融入對自己重要的東西�����;而‘dragon’顯然在許多人心中占據(jù)著重要的位置,出現(xiàn)在密碼中也就不奇怪了��。從《龍與地下城》�����、《上古卷軸5:天際》�,和《權力的游戲》的流行不難看出,龍在我們的文化中擁有很高的地位�����?���!?/p> “我們在分析和研究中發(fā)現(xiàn),人們傾向于用自己喜歡的東西來設置密碼���?����!眮碜悦绹突仿〈髮W的網(wǎng)絡隱私和安全專家Lorrie Cranor如是說��。 另一個使“dragon”在榜單居高不下的原因����,也許跟專業(yè)人員對密碼數(shù)據(jù)的研究方式有關�����。盡管可能真的有成千上萬名用戶把“dragon”設為自己的密碼�,但分析人員得到的數(shù)據(jù)畢竟涵蓋范圍有限,會對研究結果產(chǎn)生一定偏差�����。研究人員并不能隨隨便便讓某個公司把用戶的密碼清單交給他們���,他們的樣本只能取自于那些被黑或者密碼遭泄的賬戶���。 這些被黑的賬戶通常來自于安全性較差的網(wǎng)站——以及對密碼設置沒有特殊要求的網(wǎng)站?����!坝械木W(wǎng)站在創(chuàng)建賬號時為用戶設立了一套復雜的密碼設置規(guī)則,這種網(wǎng)站的賬號則較少被盜���,”來自美國卡耐基梅隆大學的計算機專業(yè)研究人員Lorrie Cranor如是說����,她在創(chuàng)建密碼領域有超過八年的研究經(jīng)驗�。“dragon”在榜單上居高不下的名次也許與實際使用它的人數(shù)并不相稱�����,因為那些被黑的網(wǎng)站很少會對在用戶創(chuàng)建密碼時做額外要求����,比如必須包含數(shù)字或特殊符號等。 密碼數(shù)據(jù)集來自的站點類型也會使得研究結果出現(xiàn)一定偏差����。WordPress平臺的虛擬主機對五百萬個關聯(lián)了Gmail賬戶的遭泄密碼進行了研究,從郵箱用戶名的設定中估測用戶的實際性別與年齡���。比如說����,“JohnDoe84@gmail.com”很可能屬于一名出生于1984年的男性用戶。通過這種研究方式��,專家發(fā)現(xiàn)數(shù)據(jù)集一定程度上偏向了男性�����,以及出生于1980年后的用戶��。這個結論不無依據(jù)�,因為許多遭泄密碼來自于美國婚戀交友網(wǎng)站eHarmony�,以及一個成人網(wǎng)站。 不難想象����,以這樣的數(shù)據(jù)集作為研究對象,考慮到《指環(huán)王》��、《龍與地下城》�,以及《權力的游戲》在30到35歲男性中的風靡程度,理論上�,“dragon”會在密碼中出現(xiàn)得更加頻繁。 其他由于密碼數(shù)據(jù)的偏向性而造成的研究結果偏差也顯而易見���。2014年�,SplashData的年度最常見密碼榜單由Burnett負責整理。在一開始的計算過程中�,他發(fā)現(xiàn)“l(fā)onen0”這個密碼出現(xiàn)的頻率特別高,甚至在榜單上高居第七����。但這并不是因為成千上萬人都不約而同地把密碼設定為它,而是因為它其實是比利時公司EASYPAY GROUP的初始默認密碼�����,這個公司在遭遇黑客攻擊時�����,有10%的用戶仍在使用初始密碼���。 水落石出 讓“dragon”在密碼界與“123456”等密碼共領風騷的另一個原因是�,它們都極易被破解���。安全起見�����,公司通常會“打亂”自己的憑證信息庫�����,不會使之明文呈現(xiàn)�����,所以即使信息被黑客得到�����,也不會輕易地被破譯����。這些打亂的數(shù)據(jù)看上去就像隨機組合的字符串��,毫無意義�,無法解析。黑客能夠破解某些較弱的打亂機制��,但即使他們無法知悉每一個具體的密碼�,他們也能通過在信息庫中運行腳本,把那幾個最常用的密碼先找出來�。“他們運行的計算機程序會首先以最常用的密碼作為查詢腳本���?�!庇嬎銠C專業(yè)研究人員Lorrie Cranor說����。 人們選擇“dragon”作為密碼,原因就跟人們愛起大眾名字一樣 盡管存在潛在的偏差����,Cranor和Burnett等研究人員還是盡可能仔細嚴謹?shù)亟ê昧怂麄兊臄?shù)據(jù)庫����。如今許多網(wǎng)站都遭遇過黑客襲擊�����,這給他們帶來了豐富的可供分析的數(shù)據(jù)集�����。但Burnett表示�,尋找網(wǎng)上“最常用”的密碼這個項目并不能算是真正的科學研究,因為它畢竟含有偏差�,且有些變量無法控制。 Cranor的研究則發(fā)現(xiàn)��,人們選擇“dragon”作為密碼的原因,就跟人們愛起像邁克爾(Michael)和詹妮弗(Jennifer)這樣的大眾名字�,或者愛好像棒球這樣大眾喜歡的體育運動一樣?!拔覀冊诜治龊脱芯恐邪l(fā)現(xiàn),人們傾向于用自己喜歡的東西來設置密碼�����,”Cranor說����,“iloveyou(我愛你)在每一種語言中都是最常見的密碼選擇之一?!?/p> 研究中,Cranor對一種現(xiàn)象產(chǎn)生了疑問:為什么那么多人都喜歡用動物或者神話中的虛構物種名字作為密碼——特別是“monkey”���,它跟“dragon”一樣,一直位于榜單前列���。在一次調查中�����,Cranor向這些選擇“monkey”作密碼的用戶詢問了原因����。 “大家基本上都說,因為自己喜歡猴子�����,覺得它們很可愛�,”Cranor說,“有的人說����,它們養(yǎng)了一只名叫‘monkey’的寵物,或者是有個好朋友外號叫‘monkey’�����,總之都是能讓人變得心情愉悅的聯(lián)想�。” 調查中發(fā)現(xiàn)��,人們選擇“dragon”作為密碼都出自類似的原因����。“我在90年代初就把密碼設定成‘dragon’�����,一直延續(xù)到今天,”一名以“dragon”為密碼的用戶在接受《連線》(Wired)雜志采訪時解釋道�,“當時我玩《龍與地下城》已經(jīng)有十年了,正好當時又安裝了《紅龍傳說》(Legend of the Red Dragon)這個新游戲�����?���!保榱朔乐姑艽a遭泄,我們的受訪者都已匿名) “密碼�,據(jù)我所知,得設定得越難以擊破越好���,這樣別人才不會盜你的號�。而龍正符合‘難以擊破’這個條件����,它們大而可怖�,并且在現(xiàn)實生活中也不像熊什么的那么常見,”另一個以‘dragon’為密碼的用戶說��,“很明顯,我絕大部分時間都只是在逛宅男論壇和打游戲罷了���?!?/p> 但有些時候��,你選擇“dragon”作為密碼只是因為你還小���,而且認為龍很酷�。正如一位以“龍”作密碼的用戶給出的原因:“我當時才13歲呢��?����!?/p> (翻譯:黃婧思) 獲取更多有趣又有料的內容���,歡迎下載鳳凰新聞客戶端��,訂閱“青年”����;歡迎掃描二維碼關注官方微信公眾平臺:鳳凰網(wǎng)YOUNG(ID:ifeng_young)
責任編輯:張彤 PSY111
|
