理解中国用户口令：特征、安全性和启示选读.pptVIP

启示三：针对口令生成策略 口令设置策略应与网站提供的service的重要性相匹配 过于复杂的策略只会给用户带来不便，却增加不了多少安全性 首个真实大规模数据案例： 策略：CSDN 要求口令 lenth =8; Dodonew无任何要求。 安全性：无论大小猜测数，Dodonew都 强于CSDN; 网站应更加注重让用户认识其服务的重要性，增强用户 使用强口令的内在动力。 与用户直接相关，可以带走的启示 口令世界严峻的现实 人类记忆能力有限，但用户往往有几十上百个帐户， 口令重用难免 各种口令泄露事件频频发生（近几天的5亿网易邮箱） 当前学界认为的best practice是： 保核心：重要帐户使用强口令，不重要帐户可以随便； 减负担：同一级别帐户使用类似口令； 不越级：不同级别帐户绝不重用类似口令； 相信自己：如果使用口令管理软件，最好是自己编写的。 致 谢 不当之处，请批评指正，谢谢！ QA * * * * * * * * * * * * * * * * * * * * * * 智能计算与感知 PKU-PSU联合实验室 汪