Home Security Heroes 是一家专注于安全研究的公司,近日他们发布了一项报告,主要研究的内容是 AI 需要花费多长时间可以破解你的密码,以此来提高大家对密码安全的认知。
此次测试,Home Security Heroes 使用了一个名为 PassGAN 的 AI 密码破解器来运行一个包含 1560 万个密码的列表。
AI 密码破解器 PassGAN 使用生成对抗网络(GAN),从实际的密码泄露中自主地学习真实密码的分布,消除了手动分析密码的需要。虽然这可以让密码破解更快、更有效,但对用户在线安全也是一个严重威胁。PassGAN 是 "密码" 和 "生成对抗网络"(GAN)这两个词的缩写。GAN 是这个密码破解工具的核心和机制,PassGAN 可以生成多种密码属性,提高预测密码的质量。
研究发现,在这 1560 万个密码中,51% 的密码在不到 1 分钟的时间里就能被破解;如果将时间延长到 1 个小时,那么 65% 的密码都将会被破解;如果再多给一些时间,那么 71%(一天时间)和 81%(一个月时间)的密码都将会被破解。
我们都知道,通常包含数字、大小写字母和符号的密码会更加安全,但这项研究发现,只要总字符 ≤ 7 个,AI 所需的时间也不到 6 分钟,那就更不用说纯数字的密码了,AI 可以即可破解它们。
不过也不是说纯数字就完全不安全,研究发现,即便你的密码只有数字,不含任何字母或符号,只要密码长度达到 18 位,AI 也需要 10 个月才能破解。包括微软在内的很多公司都会提供一个定期让你修改密码的选项(比如下图,微软可以提醒用户每 72 天强制更换一次密码),如果开启了这个选项,再考虑到 AI 需要十个月才能破解,也可以认定用户的纯数字密码是安全的。
你肯定想知道如果按照最高要求来设置密码(即包含数字、大小写字母和符号,又有 18 位),那么 AI 需要多久才能破解呢?答案是 6 个 quintillion(百京)年,一个 quintillion 代表的是 10 的十八次方,大家比较熟悉的千兆则是 10 的十五次方。
对一般用户来说,如果你又想要一个不太长的密码,又想密码足够安全,根据这个研究报告,设置一个包含数字、大小写字母和符号,且长度为 10 个字符的密码就可以了,AI 需要 5 年才能破解;亦或是设置一个有大小写字母,总长度为 11 个字符的密码也可以,AI 需要 4 年才能破解。
在报告最后,Home Security Heroes 也给出了设置密码的建议:
- 至少使用 15 个字符
- 密码中至少有两个字母(大写和小写)、数字和符号
- 避免明显的密码模式(使用 password、qwerty 等常见模式),即使它们具有所有要求的字符长度和类型
- 每 3 至 6 个月更换一次密码
- 确保为每个账户生成一个新的密码,避免使用同一密码
看到这里,不妨各位也检查一下自己的账号密码是否符合 “安全标准”。