老是打错密码导致账号被锁住？专家提议密码容错系统

来自康乃尔科技学院（Cornell Tech）、麻省理工学院（MIT）与Dropbox的5名研究人员在IEEE于上周举行的安全及隐私研讨会（IEEE Symposium on Security and Privacy）发表了一份研究报告，指出具备容错能力的密码政策及系统将对使用者更友善，而且也不如想像中地不安全。

研究人员们以Dropbox的登入系统进行实验，他们观察到Dropbox在24小时内大概有数千万名用户会登入，在登入失败的用户中，有超过9%犯的是3种常见的输入错误，包括忘了大写，或是大小写切换错误，以及在最后多按了一个字母。

因此，他们在接下来的24小时进行了密码容错的实验，自动替使用者更正密码，额外让3%输入错误的用户登入了Dropbox。

研究人员们一方面认为提供密码容错系统将会减少使用者或企业登入时的负担，另一方面也钻研它对账户安全性的影响。

分析后认为，骇客在破解或猜测使用者密码时，会率先利用外泄资料的常用密码表来测试密码，即使骇客在这些常用密码表上使用了密码校正工具，出现的通常不会是另一个常用密码，多半是无用的垃圾。

除非使用者的密码是12345，然后骇客输入了123456，就会在容错系统的掩护下成功进入使用者账户。为了防范这类的情况，研究人员们根据外流的常用密码表设立了检查哨，阻挡了特定密码的容错功能。

他们模拟了骇客攻击行动，随机选择使用者账户并猜测密码，发现进入无容错跟有容错密码系统的成功率分别是0.79%及0.81%，只有微不足道的差距。