我正在寻找有关用户如何选择和使用密码的分析。我敢肯定有很多资源可以分析用户密码。例如,我见过很多人分析来自被黑网站的密码数据库转储。我想了解更多关于这个主题的已知信息,并找到我可以了解更多信息的资源。
我对以下问题的数据特别感兴趣:
让我们尽可能多地收集这些资源和分析。越多越好!
还可以随时发布资源来分析有关用户密码行为的其他相关问题,例如:
等等。
大型网络密码泄露(尤其是 RockYou,其中泄露的是明文密码,因此即使是最强的密码也是可见的)已被多次分析。参见例如Imperva和Troy Hunt - 或者只是获取一些密码列表并进行自己的分析以计算熵等。
Troy 和剑桥的一个小组都发现,在大约 70% 的网站上,密码重用率很高。
一份有趣的CISCO、RedJack 和佛罗里达州论文给出了一些关于泄露密码的字符集混合/熵的统计数据——更长的密码往往也有更大的字符集混合——以及诸如“必须包含数字”之类的密码策略对密码强度。该分析表明,大多数 (>70%) 面临“必须包含数字”策略的用户将使用简单的数字前缀/后缀,而其余许多用户则使用 l33t-speak 替换(这两种替换都没有提供太多的 JtR-类型工具);同样,30% 的包含“特殊字符”的密码最后只有一个。该论文还表明,NIST“熵模型”是野外密码可破解性的较差指标,
那篇论文引用了另一篇论文,它显示了我们都知道的——密码过期策略导致用户进行小的增量更改以在每次过期时生成一个新密码——并且攻击者可以利用这些知识来破解“新”密码给定一个前一个比蛮力或字典攻击所允许的要快得多。那篇论文试探性地推荐了具有更严格的长度/复杂性要求的非过期密码(例如 dicewords 风格的密码)。
在他们的 OWASP 2011 演示文稿中,KoreLogic 展示了一张幻灯片,其中显示了各种(散列/加密)密码泄露的“破解比例”,这表明只有不到 10%(可能小于 2%)的用户拥有足够复杂且足够长的密码抵抗字典、彩虹和蛮力攻击的组合。我们还可以推断,蛮力攻击明显比彩虹攻击更糟糕——幻灯片上包含盐的两个示例的破解比例明显低于普通的 MD5/无盐案例。
回复:人们是否为他们的银行等账户使用更安全的密码:
KoreLogic 分析表明,“公司”密码比典型的“网络密码”复杂得多。这种差异似乎是由于典型的公司密码策略(例如,强制最小长度和字符集使用)导致典型密码更加“复杂”,但也导致一些常见的重复密码派生模式。我认为我们不能假设银行/金融网站上的密码在没有公司式策略执行的情况下会变得更加复杂。
KoreLogic 演示文稿中 Hash EXchange 屏幕截图上的“空白”条目可能与“未命名的金融网站”有关。那可能不是银行,但 70% 的破解比例告诉我们,虽然用户可能在那里使用更强的密码(与 gawker 等相比),但大多数人仍然使用弱密码。
Troy Hunt 的这篇博客文章基于 Sony、Gawker 和其他违规行为的数据进行了有趣的分析。
似乎有用的网站之一是PasswordResearch.com - 他们将分析分类为:
以下是有关密码使用和密码重用的更多统计信息:
太多人重复使用登录,研究发现(PCWorld,2010 年 2 月)报告称,73% 的用户在至少一个其他网站上重复使用他们的网上银行密码。50% 的人在至少一个其他网站上重复使用他们的网上银行用户名和密码。
Sophos(2009 年 3 月)报告称,33% 的用户承认他们使用的每个网站都使用相同的密码。48% 的人说他们使用了几种不同的密码。
网络密码习惯的大规模研究(Florencio 和 Herley,2007 年 5 月)研究了 50 万用户并衡量他们的密码使用情况,例如他们拥有的密码和帐户数量、他们在网站之间共享密码的频率以及密码强度他们的密码是。例如,他们报告说,典型用户平均有 6.5 个密码,每个密码(平均)在 3.9 个不同的网站上共享。他们声称用户密码的平均强度(以位为单位)为 40 位。他们估计每个月至少有 1.5% 的雅虎用户忘记密码。