消灭弱密?苹果开源密码管理资源工具
星期二, 六月 9, 2020
安全牛评:弱密码问题是网络安全的顽疾,根据Verizon的《数据违规调查报告》81%与黑客相关的违规行为都利用了被盗密码或弱密码。虽然密码管理器有助于提高密码强度,但是由于网站、APP等在线服务的密码规范不统一,例如对密码字符格式、数量/长度的要求不同,导致很多密码管理器生成的强密码与某些在线服务不兼容,进一步影响了用户使用强密码的热情。苹果公司为密码管理器开发者提供标准的、开源的开发资源和工具,有望极大推动密码管理器市场的发展以及强密码的应用普及度。
近日,苹果公司发布了一组面向密码管理器开发者(包括整个APP开发生态)的免费资源和工具。这些工具资源统称Password Manager Resources,目前已经在Github上开源。
苹果表示发布这些资源和工具是为了帮助解决长久以来困扰密码管理器产品(以及广大用户,不限于MacOS或者iOS用户)的一个难题:密码管理器生成的强密码很多时候无法与网站密码规则匹配。(编者按:例如NIST密码新规则要求网站支持64+字符数的长密码,而很多网站仅支持不到20个字符的短密码,而且长度限制各不相同(下图),此外,对特殊字符如表情符号的支持也不普及)。
苹果的密码工具将向密码管理器应用提供当今流行网站的密码规则,以便让密码管理器在网站密码规则范围内生成尽可能强壮的密码,提高兼容性的同时也大大改善了强密码的用户体验。
苹果同时还发布了登录凭证通用的网站列表,苹果表示希望这能让密码填充建议更好用。
最后,苹果发布了一个网站密码修改页面的URL列表,方便密码管理器在检测到弱密码后向用户提供页面跳转,而不是让用户自己去找这个页面。
Github上开源链接:
https://github.com/apple/password-manager-resources
相关阅读