Deep Dive
Shownotes Transcript
本欄目由 36 克独家出品本文来自三亿生活作为用户虚拟资产的钥匙立马毫无疑问是无数黑客垂涎三尺的对象然而遗憾的是绝大多数网民并没有养成良好的密码使用习惯
如若不然 123456 也不会稳坐全球最常用密码榜单的榜首为了保护用户的密码安全互联网厂商可谓是操碎的心在今年的 EO 开发者大会上谷歌为 Chrome 浏览器带来了一项有关密码的安全更新在检测到密码存在被泄露或弱密码风险时密码管理器会向用户提供一个自动修复密码的选项
用户点击修改按钮后,Chrome 就会自动生成高强度密码并完成替换,整个过程几乎不需要人为干预。对于 Chrome 推出这一功能的原因,谷歌 Chrome 副总裁兼总经理帕里萨塔·布里兹是这样解释的:如果只是提醒用户密码强度很弱,但让他们自己去手动更换,
这其实是一件很麻烦的事情我们也知道如果某件事很烦人人们不会真的去做所以我们认为自动修改密码不仅提高了安全性同时也提高了可用性这对用户来说是双赢的事在被问及 Chrome 是否会定期自动更换用户的密码帕里萨塔布里兹明确指出 Chrome 不会在没有用户同意的情况下更换任何密码
修改密码始终是由用户自行决定是否进行以及我们非常注重让用户保持对密码更换的控制权不得不说 Chrome 的这一功能颇有巧思也精准洞察了当下用户的特点别让我等 别让我想 别让我烦这其实就是如今产品经理在设计互联网产品时的基本原则目的就是简化用户为了满足需求所需要的步骤
如今只是提示用户密码强度弱可能存在泄露风险以当下许多网民的调性他们的选择几乎一定是无视风险当然用户倾向于使用 123456 Password
It mean 等极为简单的密码其实是人类的生理特性所导致的结果在哈佛大学认知研究中心心理学家 George Miller 在上个世纪发表的著名文章《神奇的数字》7 加减 2 我们信息加工能力的局限中就提到了 7 加减 2 法则
即人类的短时记忆容量约为 7 个加减 2 个组块短期记忆的信息单位事实上位列全球最常用密码榜 Top10 的密码无一例外都是 7 加减 2 法则内的最简选项那么使用简单的密码有什么危害呢答案是更容易被盗号
通常来说黑客最常使用暴力破解与字典攻击来偷取用户的密码暴力破解顾名思义就是在大量计算资源的加持下尝试每一个在给定长度下各种字符的组合而字典攻击则是黑客根据用户习惯设置的密码并收集起来编写成常用密码库
密码长度越短,暴力破解需要的时间也就越短例如黑客破解 123456 等全球网民最常用的 10 个密码就只需要一秒钟而破解排名 54 位的 Admitiac Ohm 则需要至少 23 天所以为了解决这个问题互联网厂商就开始要求用户将密码设计得更复杂
可这一要求又违背用户的天性为了避免用户放弃使用互联网厂商又不得不妥协事实上为了一劳永逸地解决密码带来的问题互联网厂商也做出过诸多努力比如说双因素认证可是在登录环节还需额外的硬件或接收验证码就与要求用户记忆复杂的密码没有区别都是在给用户添麻烦
所以自然也就不受待见紧接着苹果谷歌微软等大厂开始推广无密码
为用户提供密码之外的身份识别途径然而无密码这一概念过于超前由于相当多的用户不理解为什么不需要密码的 FIDO 协议通用认证框架能保证安全而此前经过互联网金融等行业数十年的市场教育有账户就得有密码这个观念早已深入人心以至于技术先进理念潮流的无密码并未得到用户的青睐
大家根本就不愿将密码的控制权完全交给互联网厂商
可尽管用户需要密码但又不愿去记忆复杂的密码这就是如今摆在互联网厂商面前的难题此次谷歌在 Chrome 上设计的自动更换若密码功能就做到了两全其美密码本身继续存在同时决定是否更换的权利也在用户手中只需轻轻一点密码就变安全这就是 Chrome 希望告诉用户的事情