研究称缺失密码保护将对互联网安全造成威胁

ugmbbc发布于 2010-06-09 07:56:50|140 次阅读 字体：大 小 打印预览


两名美国马萨诸塞州剑桥学院研究人员对网站密码保护项目进行大规模抽查研究后在6月7日提交的报告中声称，互联网网站运营领域内对密码保护缺乏必要的统一 标准致使终端客户安全性遭到极大损害。
约瑟夫·博诺（Joseph Bonneau ）和索伦·普瑞布克（Soren Preibusch）在向正在剑桥学院召开的信息安全性经济学专家研讨会提交的报告中指出，鉴于目前互联网用户习惯于在各大网站中重复使用账户名及密码的 大环境，账户名及密码在安全性较低的网站中泄漏后，对于用户在安全性较高的网站中的应用同样造成严重伤害。

黑客可以通过攻击新闻媒体网站等密码保护安全性较低的网站，获得用户电子邮件地址和密码，并使用获得的密码去偷取用户在诸如电子商务网站上应用的相关信息。

在这场迄今为止对网站密码保护措施方面最大的调查中，两名调查员在收集了150个流行网站的相关数据，并对这些数据进行分析后发现，互联网网站运营市场领域内存在“不可靠度较大的密码保护选择设计、不连续性、及毫无争议的密码保护错误。”

该报告同时指出，鉴于目前互联网用户有太多的网站账户及密码需要管理，所以我们不应当对用户重复使用相同密码及使用容易猜测到的密码提出质疑。

调查结果显示，在进入调查范围的 150家网站中，78%的网站未能向用户给出类似“设置保护性强的密码”提醒或反馈。仅有5家网站给出这种提示，7家网站要求用户采用数字和字母相结合的密码设置方式，2家网站要求用户在密码设置时必须包括非字母符号。

——密码的关联单向性 成为迫切的需求了！
——关联单向性：主人可以容易地从A应用的密码推测到B应用的密码，而外人无法从A应用的密码推测到B应用的密码