android的手勢密碼,現如今的指紋解鎖,再加上古老的文字密碼都是有破綻可循的。
三年前過年前我去鼓浪嶼旅了個遊,不幸丟失了我的 iphone 5,考慮到過年的開支,買了臺小公尺。當時棄蘋果投 android 的原因除了**,還有那時讀的一篇文章《fbi 無法破解 android 手勢密碼》。
fbi 在法院文書中提到,法院專家用多種方法嘗試解鎖一台 samsung exhibit ii,未果。
文章後面的故事在此不表,重要的是,它給我植入了「手勢密碼極度安全」這個印象。後來指紋解鎖逐漸成為主流,那麼,退回手勢密碼是否是安全上策?
不一定!
人喜歡偷懶
挪威科技大學的 marte løge 在研究生畢業**中對這個問題進行了研究,分析了 4000 多個 alp(手勢密碼),發現這些密碼有著驚人的相似性。這些 alp 中,44% 從最左邊的點開始,77% 從四個角開始。另外人們並沒有將 9 個點充分運用上,平均連線僅有 5 個點,意味著只有 9000 種可能性。用 4 個點的使用者也不少,他們的密碼僅有 1624 種可能。
人類是可**的。
研究過程中,løge讓志願者各自設定 3 個 alp:乙個用於購物應用,乙個用於銀行應用,乙個用於解鎖手機。結果大部分人都選擇使用最基本的 4 位解鎖圖案。出於某種原因 8 位密碼的使用頻率最低,過半數人選擇使用 4-5 位的 alp。
人們對短密碼的偏好很好理解,短的好記嘛。當然這點上還存在性別差異,女性似乎更喜歡「偷懶」,男性則更傾向於使用較長的密碼。下圖是男性與女性設定的密碼長度對比:
除了長度,男性還更傾向於將密碼設定得更複雜,例如 2,3,1 的組合,就比 1,2,3, 的組合複雜性更高,因為前者組合改變了數字的「方向」。在 løge 的試驗中,沒有任何一位女性使用了這種「調頭」的密碼。
最好破解 vs 最難破解
文字密碼中,「1234567」、「password」恐怕誰都用過,恰恰這些密碼也是最容易破解的密碼組合。 人們在設定手勢密碼時同樣遵循著這種「偷懶」的習慣,超過 10% 的受試者的起點都與配偶、小孩、寵物的名字相關。假如心懷不軌者掌握了相關資訊,並猜到了第乙個字,破解密碼的難度就會大大降低。
設密碼或許是最反人性的一項工作。複雜性多半會難倒自己,不複雜的話又有安全隱患。其實最複雜的密碼就是隨機密碼,「但人類大腦先天注定無法產生隨機內容」(語自大學的統計學教授)。
回到文初提到的「fbi 無法破解 android 手勢密碼」,而 løge 又說手勢密碼很脆弱,歧視也不完全矛盾。不清楚當時 fbi 的破解手段,但光談密碼機制,android alp 本身是很安全的,至少比純數字的密碼要安全的多。løge 的研究是從心理學的角度分析人類使用密碼的規律,人性,總歸是有破綻的。
推薦閱讀:
調戲了幾天小冰,發現被坑了
老羅的「史上最傷感發布會」上到底發生了什麼
MySQL 5 6 如何更安全的處理密碼
mysql 5.6 將會自動的在日誌中隱藏密碼資訊。這不只是混淆,然後將單向雜湊值存放在日誌檔案中。通過設定 log raw off 你可以禁用日誌檔案的密碼隱藏功能。log raw 設定只影響一般的日誌,而慢查詢日誌和二進位制日誌中依然會對密碼進行隱藏。在 mysql 5.5 中這個需要在首次將雜...
MySQL 5 6 如何更安全的處理密碼
mysql 5.6 將會自動的在日誌中隱藏密碼資訊。這不只是混淆,然後將單向雜湊值存放在日誌檔案中。通過設定 log raw off 你可以禁用日誌檔案的密碼隱藏功能。log raw 設定只影響一般的日誌,而慢查詢日誌和二進位制日誌中依然會對密碼進行隱藏。在 mysql 5.5 中這個需要在首次將雜...
PHP更安全的密碼加密機制Bcrypt詳解
前言 我們常常為了避免在伺服器受到攻擊,資料庫被拖庫時,使用者的明文密碼不被洩露,一般會對密碼進行單向不可逆加密 雜湊。常見的方式是 雜湊方式 加密密碼 md5 123456 e10adc3949ba59abbe56e057f20f883e md5 123456 salt salt 207acd61...