中国领先的IT技术网站
|
|

密码要包含大小写字母+数字+符号,提这个建议的人刚刚承认他错了

Burr 是下列事情的始作俑者:迫使我们想出“Wohao5huA!”或者“P@55w0rd”这样折磨打字人的密码;迫使我们记住像“Uj3k@u90”这样的系统分配密码;根据公司 IT 部门的要求,90 天,更换一次密码。

作者:佚名来源:36kr|2017-08-15 09:38

Tech Neo技术沙龙 | 11月25号,九州云/ZStack与您一起探讨云时代网络边界管理实践


Bill Burr 在 2003 年为美国政府工作时,写下了密码安全领域的“圣经“:使用大写字母、数字和非字母符号。就在刚刚,Burr 承认,他的建议是错的。


Bill Burr 在 2003 年为美国政府工作时,写下了密码安全领域的“圣经“:使用大写字母、数字和非字母符号。原因是复杂的密码难以被猜到;另外,Burr 也建议经常更换密码。

所以,Burr 是下列事情的始作俑者:迫使我们想出“Wohao5huA!”或者“P@55w0rd”这样折磨打字人的密码;迫使我们记住像“Uj3k@u90”这样的系统分配密码;根据公司 IT 部门的要求,90 天,更换一次密码。

现在,Burr 承认,他的建议是错的,这些办法实际上不能提高密码的安全性。

相反,这些密码组合会让电脑系统更容易受到攻击,因为用户在创造了一个复杂密码之后,会重复使用这些密码,或者为了防止遗忘,会写下来贴到电脑旁边。

而且,数字和符号的加入并没有让电脑更加免疫于黑客尝试所有组合可能性的“强力(brute force)”攻击。

定期更换密码的建议也是错误的。因为密码复杂,所以用户只会更换其中一个字母或数字,例如把“Wohao5huA!”改成“Wohao5huA?”。

这种更改对阻止黑客来说毫无意义。而且,定期更改密码引起的不便比有限的密码安全更糟糕。

现在,美国国家科学技术研究所的线上密码指南已经更新,并提醒用户避免传统误区:

  • 不要重复使用密码。
  • 结合大小写字母设置的密码没有你想象的安全,没有太大意义。
  • 更好的选择是那些长但是易记的密码,或者密码短语:“yinglianxunguimo(营练训鬼魔)”比“Wohao5huA!”这个密码难破解的多。
  • 另外,更安全的办法是,使用双重验证,在登陆的时候最好得到短信的确认。

数亿人在过去 10 多年间遵循了这个看似有道理的密码原则,但是却没有考虑到行为因素的叠加。我从没意识到密码安全包括了密码本身的安全,还有我们对待密码的态度和使用方式。

对于产品经理来说,这个经验很重要:如果产品不够简单,那么用户可能根本不会按照预想的方式使用这个产品。

复杂的密码本身有助于提高密码安全性,但是复杂密码导致的用户习惯可能会让账户变得更加不安全。

Burr 承认自己的建议错了,并不是技术上认为复杂密码不对,而更多是在用户使用层面上的反思。

只是,对于普通用户来说,我会想生活中还有多少我们完全不懂为什么但是还依然遵照的原则。

【编辑推荐】

  1. 边缘计算产业联盟即将成立 使能行业数字化转型
  2. 数字化转型下,软件产业变革新动能
  3. Intel AMT 固件密码绕过登录漏洞分析与实战
  4. 艺链用区块链技术培育共识信用土壤,起航数字经济海洋
  5. 金融同样需要数字化转型 看微软如何做?
【责任编辑:武晓燕 TEL:(010)68476606】

点赞 0
分享:
大家都在看
猜你喜欢

读 书 +更多

循序渐进Oracle——数据库管理、优化与备份恢复

本书从基础知识入手,详细讨论了Oracle数据库的创建、OEM及iSQL*Plus等工具的使用、Oracle的字符集知识、用户的创建与管理、表空间和数据文...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊
× CTO训练营(深圳站)