即使对“123456”这个弱爆了的密码再蔑视，它依然稳居密码排行榜Top10，甚至Top5。更讽刺的是，“password”也是一个相当流行的密码。

我敢打赌，看到这篇文章的人都知道为什么使用类似“passpword”这样的密码作为密码不是一个好主意。因此与其叨叨不休，不如认真思考一下为什么“123456”、“password”这样的密码会一直受用户宠爱，然后我再介绍一个数据驱动的密码表，让用户更简易的设置出一个更安全的密码。

密码表常见的问题

新晋的网络安全人士总是不能理解，为什么人们喜欢使用“123456”、“password”这样的密码。方便 VS 安全，这是人性！ 问题是，真的没有办法绕开人性固有的弱点吗？

目前常用的做法是弱密码检查表，密码检查表能够通知我们设置的密码是否足够强大，不过这样做，真的对用户有帮助吗？

我们的研究和调查结果显示，密码检查表在帮助用户选择更强壮的密码方面的帮助并不大，这里有一篇论文，有兴趣的读者可以查看（Does My Password Go up to Eleven? The Impact of Password Meters on Password Selection ）。一般情况下，用户很少在意密码检查表的提示。

网站上的做法似乎背离了设计者本意和用户的初衷，充分说明，在这一点上有继续改善的空间。

另外，弱密码提示还有另外一个问题：如果一个密码被认为是不可接受的，那么用户必须猜测如何加强密码，并且通常会尝试很多次，然后恼怒的结束这个痛苦的过程（～～这是什么奇葩的设计，鬼知道什么才是你们说的强密码～～）

  “你的密码是弱密码”

VS

“为什么你的密码是弱密码，这样做可以使它变得更好”

数据驱动的密码表，有何不同？

来自卡内基梅隆大学和芝加哥大学的研究小组正在寻求帮忙用户创建强大的密码的方法，它们专注于一个事实，即通过测试（密码猜解、字典、暴力破解和彩虹表等方式），大多数密码都相对简单。

攻击者猜解密码的方式是通过分析和总结泄露的密码数据集，提取出一定的规则，甚至会参杂一些社工信息。

类似把密码中的“Es”改为“3s”的方式来愚弄攻击者，效果并不理想。

提供数据驱动的反馈，会使密码的安全性有很大的提升，这里的关键是，项目的新仪表会根据用户输入的密码提供实时的反馈，而不是单纯的一个“强”／“弱”密码的标识。这样做会更好的帮助用户创建一个更强大的密码。

为了编写数据驱动的反馈程序，研究人员开发出了一种人工神经网络，描绘出一个海量的、复杂的地图信息，就像大脑中的神经元的行为。网络“学习者”扫描现有的密码并识别它们的特征。它可以检测用户输入的密码，如果判断密码可能被攻击者猜解，会告诉用户如何加强。

当用户输入信息时，会在线实时呈现反馈信息，如下图所示：

该项目已经在GitHub上开源。开发团队希望可以有更多的安全和隐私社区的成员加入进来，一起完善它。

https://github.com/cupslab/password_meter

相关资料

Does My Password Go up to Eleven? The Impact of Password Meters on Password Selection

http://www.guanotronic.com/~serge/papers/chi13b.pdf

Password Cracking

http://web.cs.du.edu/~mitchell/forensics/information/pass_crack.html

资料来源:Techrepublic ,