填寫密碼時不允許複製貼上?這個設計看上去安全,其實不一定

填寫密碼時不允許複製貼上?這個設計看上去安全,其實不一定

你是否有在多個網站使用同一密碼的習慣?不少網站都會禁止用戶在密碼輸入框進行複製貼上操作。不過,這篇來自英國國家電腦安全中心官方文章反而認為網站應該允許用戶複製貼上,一些密碼管理類的軟體(如 1password)比用戶在不同網站使用同一個密碼更安全。你是否認同這篇文章中的觀點呢?

經常有網友發推特抱怨很多網站在登入的時候,會阻止你用複製貼上的方式登入密碼。大多數使用者都憤怒地表示,這是一個十分令人惱火的設計。

那麼,既然會惹火大家,為什麼大多數網站都要這麼做呢?通常網站不會告訴你任何理由,但如果非得要給出理由,其中一個必然是「安全」。NCSC 不認為這個理由很充分。我們認為不允許用戶進行密碼複製貼上(stopping password pasting,簡稱SPP)是一種降低安全性的壞事情。我們認為,網站應該允許客戶將他們的密碼複製貼上到輸入框中,這樣可以提高安全性。

 

沒有人知道SPP是從哪裡來的

SPP 來自哪裡,這一直是個謎。沒有人能指出一篇論文,一個規則,一個 RFC(技術標準文件,用來規劃網路的正確規範)或者其他任何啟動 SPP 的東西。我們相信這是一種所謂「最佳實踐」的想法,或許他來自於一種「常識」,可能在過去是有意義的。不過,考慮到今天的大環境,不允許用戶複製貼上密碼的規定已經過時了。

 

那麼為什麼密碼複製貼上是一件好事呢?

密碼複製貼上可以提高安全性的主要原因,是它有助於減少相同的密碼被重複在太多的網站上使用。允許複製貼上密碼,使web表單與密碼管理器能夠更有效率地工作。由密碼管理器來幫你選擇、儲存和輸入密碼,要比你用大腦管理密碼好得多。

密碼管理器非常有用,因為它們:

  • 讓你使用的每個網站都有不同的密碼。

  • 登錄時防止輸入錯誤來提高您的工作效率並減少挫敗感。

  • 讓使用長而複雜的密碼變得簡單。

當然,儘管密碼管理器可以提供比密碼記錄文件更好的服務和保護,但它們並不是解決所有密碼問題的靈丹妙藥。不過,你可以想像一下,如果你沒有密碼管理器,或者你的電腦上沒有一個受保護的密碼文件,你幾乎不可能記住所有的密碼。那麼,你就得做一些不太好的事情:

  • 在不同的網站上重複使用相同的密碼。

  • 選擇非常簡單(也很容易猜到)的密碼。

  • 把密碼寫在容易找到的地方(比如放在螢幕旁邊的便利貼)。

這就是為什麼我們認為 SPP 不好,而允許密碼複製貼上很好。畢竟,利大於弊。

 

為什麼禁止密碼複製貼上(SPP)是錯誤的?

還有其他一些理由可以證明 SPP 是正確的。這些理由中一些具有誤導性的事實聽起來很有說服力——下面我要指出他們的錯誤。

  • 理由一:「密碼複製貼上允許駭客對網站進行暴力攻擊」

如果允許密碼複製貼上,則表示惡意軟體或 web 頁面可以在密碼框中反覆複製貼上密碼進行猜測,直到它們破壞您的密碼。

這是正確的,但也確實有其他方法可以進行猜測(例如通過 API),這對於攻擊者來說是很容易設置的,並且在猜測方面要快得多。使用複製和粘貼進行暴力攻擊的風險非常小。

  • 理由二:「複製貼上密碼會讓你更容易忘記,因為你記憶這些密碼的機會更少。」

原則上,你回憶的次數越多,下一次就越容易。

然而,在現實世界中,人們被要求為他們很少使用的東西設置密碼。這意味著沒有足夠的時間去練習,因此幾乎沒有機會去記憶。這整個理由基於你的假設:首先,用戶應該總是嘗試記住他們的密碼——然而這並不總是正確的。

人們也被要求為他們經常使用的東西設置密碼,這樣他們就不會忘記密碼,即使他們想(如果你被迫經常更換密碼,這很不方便)。他們要一次又一次輸入這令人惱火的密碼。密碼管理器是這些人依賴的工具,可是 SPP 將它踢開了。

  • 理由三:「密碼會掛在剪貼板中」

當任何人複製貼上時,複製的內容被保存在一個「剪貼板」中,在那裡它可以被複製貼上很多次,就像他們想要的那樣。任何安裝在電腦上的軟體(或任何操作它的人)都可以使用剪貼板,可以看到裡面有什麼。可以通過拷貝任何其他東西來破壞原有的內容。

密碼管理器將你的密碼複製到剪貼板上,這樣他們就可以把密碼複製貼上到網站的密碼框中。這個過程中可能存在的風險是,攻擊者(或惡意軟體)會在你的密碼被從剪貼板中刪除之前竊取你的密碼。

如果你要手動複製貼上你電腦上的一個文件的密碼,剪貼板中的密碼可能會更麻煩。你可能忘記清除剪貼板。然而,這並不是很大的風險,因為——

  • 大多數密碼管理器會在它們把你的密碼複製貼上到網站上時立刻清除剪貼板,還有些管理器則完全通過「虛擬鍵盤」來輸入密碼來避免被複製到剪貼板中。

  • Internet Explorer 6現在的確仍然允許惡意網頁複製剪貼板;但現在已經很少有人仍然使用 IE 6瀏覽網頁。

  • 在你的電腦上安裝的病毒可以在它們上面安裝剪貼板,並獲取你的複製貼上密碼。這仍然不是 SPP 的一個好理由,因為當你的電腦被感染時,你根本不能相信它。複製剪貼板的病毒和其他惡意軟體幾乎總是複製你電腦上的每一個字母、數字和符號,包括你的密碼。不管密碼是否在剪貼板中,他們都能夠竊取你的密碼,所以 SPP 也沒有意義。

與其停止密碼複製貼上,不如保護您的電腦,避免在最開始感染病毒,並遵循我們的企業 IT 安全指南。並且,記得安裝軟體更新——它們好比是電腦的維生素C。這是保護你的電腦最好的方法之一。

 

當然,不要只聽我們的一面之詞

你不必全然相信我們的話,也可以認為阻止密碼複製貼上是好的。你可以參考Troy Hunt的意見,或者是這篇文章

 

 

原文鏈接:https://www.ncsc.gov.uk/blog-post/let-them-paste-passwords

  • 本文授權轉載自:36kr
36Kr
作者

36氪(36Kr.com)累計發表超過10.8萬條包含圖文、音訊、影片在內的優質內容。氪原創內容體系涵蓋新創公司、大公司、投資機構、地方產業與二級市場等內容模組,設置有快訊、深度商業報導

使用 Facebook 留言
發表回應
謹慎發言,尊重彼此。按此展開留言規則