密码创建策略是密码安全的真正敌人

CNET科技资讯网 5月18日 国际报道 编程人员卡梅隆·莫里斯(Cameron Morris)开发了一款密码分析工具，通过分析模式判断密码强度，得出了如下结论：密码创建策略是密码安全的真正敌人。

据莫里斯称，之所以这样，原因就在于密码创建策略通常关注密码的构成，而非强度。破解密码所需要的时间是衡量密码强度和价值的唯一途径。为此，莫里斯开发了一款开放源代码工具——Passfault，预测破解一个密码所需要的时间。莫里斯邀请系统管理员和最终用户试用了Analyzer和Password Creation Slide-Tool。

莫里斯说，“我花30分钟创建了一个很难破解的密码，但后来意识到密码将在30天后被破解。我也认为根据密码强度计算破解时间不够好，但我找不到更好的方法。”

今年1月份，莫里斯将Passfault项目移交给非盈利组织“开放Web应用安全项目”，希望开发者社区将有助于改进Passfault软件，增添新语言，扩充词典。莫里斯已经开发了Java和JavaScript Object Notation版本，正在开发JavaScript版本。

莫里斯希望通过检验模式而非使用基于字母、数字和特定字符的政策，挑战对创建安全密码的传统认识。卡耐基-梅隆大学2011年进行的一项研究显示，密码创建策略使创建安全密码的难度大大提高，密码长度是显著影响密码强度的唯一因素。

莫里斯的目标是使密码强度可以被衡量，易于理解。Passfault表明，合适的模式每次都超过一个大写字母和一个“&”符号。Passfault的字典模型(英语和西班牙语)包括大小写混合，删除字母或添加特殊字母，存在拼写错误的单词、倒拼的单词。Passfault还检验键盘模式(美国和俄罗斯)和数据模式。

Passfault首先分析一个密码，然后计算存在的模式相似的密码数量。莫里斯称之为“衡量密码复杂性”。

用户输入一个密码后，Passfault的Analyzer会显示一个“破解次数”(time-to-crack)等级。“破解次数”代表一个特定模式中的密码数量。该滑动条工具使系统管理员通过模式大小、密码保护类型、黑客使用的硬件计算密码强度。

当然，Passfault的目的只是创建密码，而非保护密码。一个问题是，用户经常在多个场合使用相同的密码，增加了密码泄露的风险。