请锁定竖排方向

登入 / 注册

为什么这么多人选择“dragon”作为密码

2018-06-08
来自:界面-中国

图片来源:网络

自2011年起,美国网络安全公司SplashData每年都会通过分析遭泄露的密码,发布一份年度最常用密码榜单。像“abc123”、“123456”、“letmein”(让我登录)这样极易破解的密码几乎每一年都会上榜,不难看出,人们在设置密码的时候真的没有花太多心思。可有一个每次都会进入榜单前20名的常用密码却相当与众不同:“dragon”(龙)。

但原因何在呢?可能是因为电视剧《权力的游戏》的风靡,这部剧的第一季在2011年播出,正好也是SplashData发布榜单的第一年;也可能是因为遭泄密的用户中,有很多都是《龙与地下城》游戏(Dungeons & Dragons)的忠实粉丝。好吧,这些原因都不无道理。但最有说服力的解释其实比你想象的要简单得多。

寻根究底

“dragon”在榜单上略显格格不入,并不是因为SplashData公司分析常用密码的算法出了问题。内容管理系统WordPress在2017年也发布了相似的密码清单,清单通过安全顾问Mark Burnett对平台数据的分析整合而成,在榜单中,“dragon”占据了第十名的位置。在密码管理程序公司Keeper Security于2016年发布的榜单中,“dragon”没有上榜,因为这份榜单重点分析的是那些机器人账号。而前100名的常用密码数年来的排位都比较稳定,这似乎排除了《权力的游戏》这个原因。

“我确信,我的书里列了有数百个包含‘dragon’字眼的密码,”安全顾问Mark Burnett说,他于2005年出版了一本名叫《完美密码》(Perfect Passwords)的相关图书。“人们通常会在密码中融入对自己重要的东西;而‘dragon’显然在许多人心中占据着重要的位置,出现在密码中也就不奇怪了。从《龙与地下城》、《上古卷轴5:天际》,和《权力的游戏》的流行不难看出,龙在我们的文化中拥有很高的地位。”

“我们在分析和研究中发现,人们倾向于用自己喜欢的东西来设置密码。”来自美国卡耐基梅隆大学的网络隐私和安全专家Lorrie Cranor如是说。

另一个使“dragon”在榜单居高不下的原因,也许跟专业人员对密码数据的研究方式有关。尽管可能真的有成千上万名用户把“dragon”设为自己的密码,但分析人员得到的数据毕竟涵盖范围有限,会对研究结果产生一定偏差。研究人员并不能随随便便让某个公司把用户的密码清单交给他们,他们的样本只能取自于那些被黑或者密码遭泄的账户。

这些被黑的账户通常来自于安全性较差的网站——以及对密码设置没有特殊要求的网站。“有的网站在创建账号时为用户设立了一套复杂的密码设置规则,这种网站的账号则较少被盗,”来自美国卡耐基梅隆大学的计算机专业研究人员Lorrie Cranor如是说,她在创建密码领域有超过八年的研究经验。“dragon”在榜单上居高不下的名次也许与实际使用它的人数并不相称,因为那些被黑的网站很少会对在用户创建密码时做额外要求,比如必须包含数字或特殊符号等。

密码数据集来自的站点类型也会使得研究结果出现一定偏差。WordPress平台的虚拟主机对五百万个关联了Gmail账户的遭泄密码进行了研究,从邮箱用户名的设定中估测用户的实际性别与年龄。比如说,“JohnDoe84@gmail.com”很可能属于一名出生于1984年的男性用户。通过这种研究方式,专家发现数据集一定程度上偏向了男性,以及出生于1980年后的用户。这个结论不无依据,因为许多遭泄密码来自于美国婚恋交友网站eHarmony,以及一个成人网站。

不难想象,以这样的数据集作为研究对象,考虑到《指环王》、《龙与地下城》,以及《权力的游戏》在30到35岁男性中的风靡程度,理论上,“dragon”会在密码中出现得更加频繁。

其他由于密码数据的偏向性而造成的研究结果偏差也显而易见。2014年,SplashData的年度最常见密码榜单由Burnett负责整理。在一开始的计算过程中,他发现“lonen0”这个密码出现的频率特别高,甚至在榜单上高居第七。但这并不是因为成千上万人都不约而同地把密码设定为它,而是因为它其实是比利时公司EASYPAY GROUP的初始默认密码,这个公司在遭遇黑客攻击时,有10%的用户仍在使用初始密码。

水落石出

让“dragon”在密码界与“123456”等密码共领风骚的另一个原因是,它们都极易被破解。安全起见,公司通常会“打乱”自己的凭证信息库,不会使之明文呈现,所以即使信息被黑客得到,也不会轻易地被破译。这些打乱的数据看上去就像随机组合的字符串,毫无意义,无法解析。黑客能够破解某些较弱的打乱机制,但即使他们无法知悉每一个具体的密码,他们也能通过在信息库中运行脚本,把那几个最常用的密码先找出来。“他们运行的计算机程序会首先以最常用的密码作为查询脚本。”计算机专业研究人员Lorrie Cranor说。

人们选择“dragon”作为密码,原因就跟人们爱起大众名字一样

尽管存在潜在的偏差,Cranor和Burnett等研究人员还是尽可能仔细严谨地建好了他们的数据库。如今许多网站都遭遇过黑客袭击,这给他们带来了丰富的可供分析的数据集。但Burnett表示,寻找网上“最常用”的密码这个项目并不能算是真正的科学研究,因为它毕竟含有偏差,且有些变量无法控制。

Cranor的研究则发现,人们选择“dragon”作为密码的原因,就跟人们爱起像迈克尔(Michael)和詹妮弗(Jennifer)这样的大众名字,或者爱好像棒球这样大众喜欢的体育运动一样。“我们在分析和研究中发现,人们倾向于用自己喜欢的东西来设置密码,”Cranor说,“iloveyou(我爱你)在每一种语言中都是最常见的密码选择之一。”

研究中,Cranor对一种现象产生了疑问:为什么那么多人都喜欢用动物或者神话中的虚构物种名字作为密码——特别是“monkey”,它跟“dragon”一样,一直位于榜单前列。在一次调查中,Cranor向这些选择“monkey”作密码的用户询问了原因。

“大家基本上都说,因为自己喜欢猴子,觉得它们很可爱,”Cranor说,“有的人说,它们养了一只名叫‘monkey’的宠物,或者是有个好朋友外号叫‘monkey’,总之都是能让人变得心情愉悦的联想。”

调查中发现,人们选择“dragon”作为密码都出自类似的原因。“我在90年代初就把密码设定成‘dragon’,一直延续到今天,”一名以“dragon”为密码的用户在接受《连线》(Wired)杂志采访时解释道,“当时我玩《龙与地下城》已经有十年了,正好当时又安装了《红龙传说》(Legend of the Red Dragon)这个新游戏。”(为了防止密码遭泄,我们的受访者都已匿名)

“密码,据我所知,得设定得越难以击破越好,这样别人才不会盗你的号。而龙正符合‘难以击破’这个条件,它们大而可怖,并且在现实生活中也不像熊什么的那么常见,”另一个以‘dragon’为密码的用户说,“很明显,我绝大部分时间都只是在逛宅男论坛和打游戏罢了。”

但有些时候,你选择“dragon”作为密码只是因为你还小,而且认为龙很酷。正如一位以“龙”作密码的用户给出的原因:“我当时才13岁呢。”

(翻译:黄婧思)

获取更多有趣又有料的内容,欢迎下载凤凰新闻客户端,订阅“青年”;欢迎扫描二维码关注官方微信公众平台:凤凰网YOUNG(ID:ifeng_young)

责任编辑:张彤 PSY111

* 凤凰网青年频道 合作邮箱:all_young@ifeng.com

专注

音乐剧《不能说的秘密》

2018-03-19

101

21

凤凰新媒体 版权所有 Copyright © 2016 Phoenix New Media Limited All Rights Reserved.