來自康乃爾科技學院(Cornell Tech)、麻省理工學院(MIT)與Dropbox的5名研究人員在IEEE於上周舉行的安全及隱私研討會(IEEE Symposium on Security and Privacy)發表了一份研究報告,指出具備容錯能力的密碼政策及系統將對使用者更友善,而且也不如想像中地不安全。
研究人員們以Dropbox的登入系統進行實驗,他們觀察到Dropbox在24小時內大概有數千萬名用戶會登入,在登入失敗的用戶中,有超過9%犯的是3種常見的輸入錯誤,包括忘了大寫,或是大小寫切換錯誤,以及在最後多按了一個字母。
因此,他們在接下來的24小時進行了密碼容錯的實驗,自動替使用者更正密碼,額外讓3%輸入錯誤的用戶登入了Dropbox。
研究人員們一方面認為提供密碼容錯系統將會減少使用者或企業登入時的負擔,另一方面也鑽研它對帳戶安全性的影響。
分析後認為,駭客在破解或猜測使用者密碼時,會率先利用外洩資料的常用密碼表來測試密碼,即使駭客在這些常用密碼表上使用了密碼校正工具,出現的通常不會是另一個常用密碼,多半是無用的垃圾。
除非使用者的密碼是12345,然後駭客輸入了123456,就會在容錯系統的掩護下成功進入使用者帳戶。為了防範這類的情況,研究人員們根據外流的常用密碼表設立了檢查哨,阻擋了特定密碼的容錯功能。
他們模擬了駭客攻擊行動,隨機選擇使用者帳戶並猜測密碼,發現進入無容錯跟有容錯密碼系統的成功率分別是0.79%及0.81%,只有微不足道的差距。