作为用户虚拟资产的钥匙,密码毫无疑问是无数黑客垂涎三尺的对象,然而遗憾的是,绝大多数网民并没有养成良好的密码使用习惯。如若不然,“123456”也不会稳坐全球最常用密码榜单的榜首。
为了保护用户的密码安全,互联网厂商可谓是操碎了心。在今年的I/O开发者大会上,谷歌为Chrome浏览器带来了一项有关密码的安全更新,在检测到密码存在被泄露或弱密码风险时,密码管理器会向用户提供一个自动修复密码的选项,用户点击修改按钮后,Chrome就会自动生成高强度密码、并完成替换,整个过程几乎不需要人为干预。
对于Chrome推出这一功能的原因,谷歌Chrome副总裁兼总经理帕里萨・塔布里兹(Parisa Tabriz)是这样解释的,“如果只是提醒用户密码强度很弱,但让他们自己去手动更换,这其实是一件很麻烦的事情。我们也知道如果某件事很烦人,人们不会真的去做,所以我们认为自动修改密码不仅提高了安全性,同时也提高了可用性,这对用户来说是双赢的事。”
在被问及Chrome是否会定期自动更换用户的密码,帕里萨・塔布里兹明确指出,Chrome不会在没有用户同意的情况下更换任何密码,修改密码始终是由用户自行决定是否进行,以及“我们非常注重让用户保持对密码更换的控制权。”
不得不说,Chrome的这一功能颇有巧思,也精准洞察了当下用户的特点。“别让我等,别让我想,别让我烦”,这其实就是如今产品经理在设计互联网产品时的基本原则,目的就是简化用户为了满足需求所需要的步骤。如今只是提示用户密码强度弱,可能存在泄露风险,以当下许多网民的调性,他们的选择几乎一定是“无视风险”。
当然,用户倾向于使用“123456”、“password”、"admin"等极为简单的密码,其实是人类的生理特性所导致的结果。在哈佛大学认知研究中心心理学家George Miller在上个世纪发表的著名文章《神奇的数字:7±2——我们信息加工能力的局限》中 ,就提到了“7±2法则”,即人类的短时记忆容量约为7个加减2个组块(短期记忆的信息单位)。
事实上,位列全球最常用密码榜TOP10的密码,无一例外都是“7±2法则”内的最简选项。
那么使用简单的密码有什么危害呢?答案是更容易被盗号。通常来说,黑客最常使用暴力破解与字典攻击来偷取用户的密码。暴力破解顾名思义,就是在大量计算资源的加持下,尝试每一个在给定长度下各种字符的组合,而字典攻击则是黑客根据用户习惯设置的密码,并收集起来编写成“常用密码库”。
密码长度越短,暴力破解需要的时间也就越短。例如黑客破解“123456”等全球网民最常用的10个密码,就只需要1秒钟,而破解排名54位的“admintelecom”则需要至少23天。所以为了解决这个问题,互联网厂商就开始要求用户将密码设计得更复杂,可这一要求又违背用户的天性。
为了避免用户放弃使用,互联网厂商又不得不妥协。事实上,为了一劳永逸地解决密码带来的问题,互联网厂商也做出过诸多努力。比如说“双因素认证”,可是在登录环节还需额外的硬件或接收验证码,就与要求用户记忆复杂的密码没有区别,都是在给用户添麻烦,所以自然也就不受待见。
紧接着苹果、谷歌、微软等大厂开始推广“无密码”,为用户提供密码之外的身份识别途径。然而“无密码”这一概念过于超前,由于相当多的用户不理解为什么不需要密码的FIDO协议、通用认证框架,能保证安全。而此前经过互联网、金融等行业数十年的市场教育,有账户就得有密码这个观念早已深入人心。
以至于技术先进、理念潮流的“无密码”并未得到用户的青睐,大家根本就不愿将密码的控制权完全交给互联网厂商。可尽管用户需要密码,但又不愿去记忆复杂的密码,这就是如今摆在互联网厂商面前的难题。此次谷歌在Chrome上设计的自动更换弱密码功能,就做到了两全其美
密码本身继续存在,同时决定是否更换的权力也在用户手中。只需轻轻一点,密码就变安全,这就是Chrome希望告诉用户的事情。
本文来自微信公众号“三易生活”(ID:IT-3eLife),作者:三易菌,36氪经授权发布。
