如何记住强大且唯一的密码

今年是2014年。洛克希德马丁公司于近期宣布在开发可提供难以想象的巨量能源的紧凑型核聚变反应堆方面取得了实质性的进展,并有望取代清洁性差却能轻易开采的燃料能源。尽管科学技术飞速发展,但有一个领域依然停滞不前,那就是我们依然需要努力记住一长串的密码。如果我们在未来技术上仍然还要依靠落后的认证器技术的话,那我们还是需要想出一种可靠的解决方案来记住我们的密码。而这正是我们在卡耐基梅隆大学计算机科学系的朋友们所做的研究内容。 不幸的是,事实证明要记住一长串复杂的密码需要我们做一些人人厌恶的事情:学习研究。据Jeremiah Blocki、Saranga Komanduri、Lorrie Cranor和Anupam Datta所开展的研究表明,有间隔的反复训练搭配助忆术所构成的系统将能有效提升记忆力,让用户能在过了很长一段时间后依然能记住自己的密码。 密码的构成元素让我们想起了以下有关密码强度的XKCD漫画,也就是说,记忆要靠想象一些句子而不是用“脑残体”文字。 卡内基梅隆大学该项研究的参与者被要求从下拉菜单中选择一位人物,随后分配给随机产生的动作和目标。这一方法被称为人-动作-物品(PAO)故事法。因此你可以组成这样一句句子:尤达大师掉下了麦克风。” 在研究过程中所使用的助忆手段是向参与者展示设定好的一幅图片,然后想象图片中所发生的人-动作-目标的故事。比方说与我们故事有关的这幅图片显示的是一座水下实验室。那我们就可以组成这样一句句子:”尤达大师在水下实验室掉下了麦克风”。 现在你已经拥有6个单词,并且使用这6个单词可以组成足够强大的密码—你可以登录我们的安全密码检查网页来验证一下。该助忆技术的关键是你无需记住整句句子。 在本研究中,参与者在过了100多天以后,被要求只凭借一幅场景和人物(尤达大师在水下实验室)按照训练时的套路回忆起故事的动作和物品。不同的联想记忆训练间隔时间和所需记忆密码的不同数量(1个、2个或4个)造成各试验小组的测试结果不尽相同。 训练后12小时进行记忆测试的用户取得了最好的成绩,随后是12×1.5小时,后面以此类推:0.5天、0.5天、1.75天、4.15天、8.15天、14.65天、24.65天、40.65天、64.65天和101.65天。在该试验小组中,77.1%的参与者在过了102天后依然能成功回忆起9次试验中的所有4个故事。 “我猜你可能说我会对试验结果感到些许惊讶。如果在本次研究前你必须让我猜多少时间内可以取得最好的记忆成绩的话,我可能会说是30minX2(1小时),对于这个时间我也并不是那么完全自信。” 我将这一问题抛给了Blocki,想看看他是否会对试验结果感到惊讶。 “我猜你可能说我会对试验结果感到些许惊讶。”他说道。”如果在本次研究前你必须让我猜多少时间内可以取得最好的记忆成绩,我可能会说是30minX2(1小时),对于这个时间我也并不是那么完全自信。的确,12hrX1.5(18小时)这组的训练时间间隔更长。然而,连续联想记忆训练间隔时间并没有像30minX2(1小时)时间下增加的那么快。该试验结果证明了联想记忆训练时间间隔的重要性(不仅仅是联想记忆训练的总次数)。” 顺便提下,在头12个小时内最容易产生遗忘。在前几轮测试中记住故事的参与者中,有94.9%的人在随后几轮测试中也同样记住了这些故事。有些结果并不出乎意料,只需记住1个或2个故事的参与者的记忆成功率远远高于需要记住4个故事的参与者。 记住一长串密码需要我们做一些人人厌恶的事情:学习研究。 关于本次研究的更多内容,请参阅“Spaced Repetition and Mnemonics Enable Recall of Multiple Strong Passwords” [PDF]。你大可进行一番探究,但需要提醒的是,里面有太多内容讲的是极其复杂的数学问题。 今天我们到底学会了什么?首先,我们学会了如何更加容易地记忆位数较多的复杂密码。或许也明白了为什么几乎每个人都喜欢在不同账户使用同一个密码,尽管他们清楚密码会导致安全风险。换句话说,密码仍然不可避免地存在缺陷。 但同时也带来了一些好消息—你可以通过使用相对容易的助忆技术增强你的密码强度:

今年是2014年。洛克希德马丁公司于近期宣布在开发可提供难以想象的巨量能源的紧凑型核聚变反应堆方面取得了实质性的进展,并有望取代清洁性差却能轻易开采的燃料能源。尽管科学技术飞速发展,但有一个领域依然停滞不前,那就是我们依然需要努力记住一长串的密码。如果我们在未来技术上仍然还要依靠落后的认证器技术的话,那我们还是需要想出一种可靠的解决方案来记住我们的密码。而这正是我们在卡耐基梅隆大学计算机科学系的朋友们所做的研究内容。

不幸的是,事实证明要记住一长串复杂的密码需要我们做一些人人厌恶的事情:学习研究。据Jeremiah Blocki、Saranga Komanduri、Lorrie Cranor和Anupam Datta所开展的研究表明,有间隔的反复训练搭配助忆术所构成的系统将能有效提升记忆力,让用户能在过了很长一段时间后依然能记住自己的密码。

密码的构成元素让我们想起了以下有关密码强度的XKCD漫画,也就是说,记忆要靠想象一些句子而不是用“脑残体”文字

卡内基梅隆大学该项研究的参与者被要求从下拉菜单中选择一位人物,随后分配给随机产生的动作和目标。这一方法被称为人-动作-物品(PAO)故事法。因此你可以组成这样一句句子:尤达大师掉下了麦克风。”

在研究过程中所使用的助忆手段是向参与者展示设定好的一幅图片,然后想象图片中所发生的人-动作-目标的故事。比方说与我们故事有关的这幅图片显示的是一座水下实验室。那我们就可以组成这样一句句子:”尤达大师在水下实验室掉下了麦克风”。

现在你已经拥有6个单词,并且使用这6个单词可以组成足够强大的密码—你可以登录我们的安全密码检查网页来验证一下。该助忆技术的关键是你无需记住整句句子。

在本研究中,参与者在过了100多天以后,被要求只凭借一幅场景和人物(尤达大师在水下实验室)按照训练时的套路回忆起故事的动作和物品。不同的联想记忆训练间隔时间和所需记忆密码的不同数量(1个、2个或4个)造成各试验小组的测试结果不尽相同。

训练后12小时进行记忆测试的用户取得了最好的成绩,随后是12×1.5小时,后面以此类推:0.5天、0.5天、1.75天、4.15天、8.15天、14.65天、24.65天、40.65天、64.65天和101.65天。在该试验小组中,77.1%的参与者在过了102天后依然能成功回忆起9次试验中的所有4个故事。

“我猜你可能说我会对试验结果感到些许惊讶。如果在本次研究前你必须让我猜多少时间内可以取得最好的记忆成绩的话,我可能会说是30minX2(1小时),对于这个时间我也并不是那么完全自信。”

我将这一问题抛给了Blocki,想看看他是否会对试验结果感到惊讶。

“我猜你可能说我会对试验结果感到些许惊讶。”他说道。”如果在本次研究前你必须让我猜多少时间内可以取得最好的记忆成绩,我可能会说是30minX2(1小时),对于这个时间我也并不是那么完全自信。的确,12hrX1.5(18小时)这组的训练时间间隔更长。然而,连续联想记忆训练间隔时间并没有像30minX2(1小时)时间下增加的那么快。该试验结果证明了联想记忆训练时间间隔的重要性(不仅仅是联想记忆训练的总次数)。”

顺便提下,在头12个小时内最容易产生遗忘。在前几轮测试中记住故事的参与者中,有94.9%的人在随后几轮测试中也同样记住了这些故事。有些结果并不出乎意料,只需记住1个或2个故事的参与者的记忆成功率远远高于需要记住4个故事的参与者。

记住一长串密码需要我们做一些人人厌恶的事情:学习研究。

关于本次研究的更多内容,请参阅“Spaced Repetition and Mnemonics Enable Recall of Multiple Strong Passwords” [PDF]。你大可进行一番探究,但需要提醒的是,里面有太多内容讲的是极其复杂的数学问题。

今天我们到底学会了什么?首先,我们学会了如何更加容易地记忆位数较多的复杂密码。或许也明白了为什么几乎每个人都喜欢在不同账户使用同一个密码,尽管他们清楚密码会导致安全风险。换句话说,密码仍然不可避免地存在缺陷。

yoda

但同时也带来了一些好消息—你可以通过使用相对容易的助忆技术增强你的密码强度:

  • 创建可与图片相关联的故事密码。
  • 虽然操作起来并不简单,但可以避免密码共享的安全风险。
  • 在接下来的日子里,应及早和经常性地学习研究你的密码。或至少在发生数据外泄之前还可以从头再来。
  • 愿你站在正确和成功的一边。

    本周安全小贴士:高级设置重新回归!

    在2014版的卡巴斯基安全软件中,取消了原有保护组件的高级设置选项。这一决定是在经过无数次相关的讨论后作出。有许多次,我们都被告知卡巴斯基安全软件用户根本无需如此复杂的设置;他们所需要的只是功能卓越且易于使用的反病毒软件。 然而,卡巴斯基安全软件2014一经发布后,我们的官方论坛上即充满了各种反对的声音,原因是我们的高级用户对取消高级设置表示不满。似乎我们的产品很难同时满足所有用户的需求。 高级设置重返卡巴斯基安全软件2015维护版本1 最终,我们想出了一个”完全之策”,能够方便所有卡巴斯基安全软件用户使用。卡巴斯基安全软件2015维护版本1(15.0.1.415)版新增了文件反病毒设置、邮件反病毒设置以及网页反病毒高级扫描设置。 如需调整这些组件满足你的个人需求,只需打开保护设置并选择想要配置的组件,我们拿邮件反病毒举例。在组件设置窗口的下方,你可以能看到高级设置链接。点击这一链接,熟悉的设置选项一目了然。 欲了解更多包含在维护版本1版本内的新功能信息,请查阅本篇卡巴斯基实验室知识库文章。

    提示