假设有一个网络资产具有某种用户想要的奖励系统或商品。它可能是类似 Stack Exchange 的网站上的声誉、留言板上的排名徽章或随着时间的推移而解锁的附加功能。
我经常看到带有“密码强度计”的表单——当用户输入他们的密码时,条形图从红色变为黄色再变为绿色,以指示他们选择的密码有多强。但我从未见过这两个概念的组合。
我们为什么不奖励那些选择强密码的用户,提前给他们更多的代表,或者授予徽章,或者解锁独家功能?我想公开可见的徽章可能不是最聪明的举动。如果有一个青铜徽章可以被认为是“这个用户选择了第二弱的复杂性”,这会向潜在的攻击者泄露太多信息。(粗略浏览一下用户的公开资料会发现哪些帐户的密码最弱,他们会将精力集中在较低的果实上。)
有没有人试过这个?它奏效了吗?
编辑:如果福利没有公开宣传,它会改变什么吗?例如,如果银行向选择使用 MFA 代币的用户提供稍高的储蓄账户利率?
我们不知道如何通过查看密码来衡量密码的强度。当然,有许多工具声称是“密码强度计”,并为您提供漂亮的绿色。然而,他们都是胡扯,并没有给你“真正”的力量;相反,密码强度计告诉你的是:“假设攻击者是黑猩猩,那么你的密码是好的”。
因此,虽然仪表中的“红色”值是一个有趣的信息(它告诉您:“您的密码太差了,甚至黑猩猩都可以破解它”),但专注于获得“绿色”结果不会让您走得太远。一般来说,它会让你对黑猩猩黑客免疫。
事实上,密码强度计,甚至你提出的徽章系统,都是有毒的:它们鼓励用户找到嵌入密码计系统中的一对“密码规则”之外的“机智”密码。这训练用户尝试通过机智和狡猾来达到密码安全性,这与他们应该做的完全相反。密码强度来自随机性。随机性无法从输出中测量。
可行的是密码生成器,它使用随机性在用户选择密码时向他们建议密码。然后,如果他们选择使用该密码,他们可能会获得徽章。如果他们在内心深处做出另一个选择(不幸的是,随机性很难获得),那么他们就不会获得徽章。
几个原因:
admixquit可能是 9 个小写字母的随机短语,在这种情况下,它的熵为 42 位。或者它可能是两个dicewords,只给出 25 位的熵。密码juancarlitos长度为 12 个字符,使用这些方法可以使其“更强” admixquit(生成的两种变体 - Diceware 或随机字母)。然而,在RockYou单词列表juancarlitos的第 200,009 位附近可以找到,这使得密码猜测变得容易。谁来决定什么是“强”?如您所描述的那样设置系统将导致信息泄漏,它会告诉攻击者要攻击哪些用户,因此仅凭这个原因就不是一个好主意。
另外,也没有必要。如果您希望用户选择强密码,您需要做的就是设置长度和复杂性要求。
与人们因支付子女抚养费或出现工作而得不到奖励的原因相同,这是你应该做的事情。你不会因为做你应该做的事情而获得荣誉。Chris Rock 就这个主题做了一个很好的介绍。