設置密碼是確保人們安全關閉和調出應用程式的一種方式, 為資料和資訊提供保障。 但現實是密碼仍然十分重要。 電子郵件或社交媒體, 網上銀行或網路遊戲, 應用程式或網路服務, 這些應用所保持的某種使用者資料仍然依賴於密碼進行保護。 如果用戶沒有更好地進行加密, 那麼攻擊者將會快速竊取銀行帳戶並接管網路服務。
人們都知道一些基本常識, 例如不能使用“password”這樣簡單的詞彙作為密碼。 如果可能的話, 最好在網上帳戶上啟用雙因素身份驗證, 通過短信發送密碼要比不採取任何措施要好得多, 並使用密碼管理器來跟蹤所有的密碼。 不幸的是, 很多關於密碼的建議聽起來很合理, 但需要一定的場景才能有所實現。 以下是一些人們常有的密碼誤區, 需要進行澄清。
密碼誤區1:密碼需要大小寫, 數位和特殊字元的混合
真相:複雜密碼可以提供更多的安全限制。
根據字典詞彙來創建密碼是一個糟糕的想法。 將一些字母替換為數位或符號也不是一個聰明或獨特的想法。 密碼破解者知道在其查閱資料表中包含“vuln3rabl3”或“trustno1”等字樣。 事實上, 後者這樣的密碼在2014年已在美國調研機構SplashData公司選出的前25名最常用的密碼清單之中。
為了公平起見, 使用字母的大小寫, 數位和特殊字元的混合作為密碼要比使用小寫字母更強大。 雖然精確數位將隨著處理能力而變化, 但現代電腦只需要兩天的時間就可以破解全部為小寫字母的8個字元密碼(因為有26的8次方或208,827,064,576種可能的組合), 而如果採用一個大型僵屍網路破解只需1.8秒。
如果字串並不是隨機的, 採用字母大小寫, 數位和特殊字元的所有混合都不會有任何好處。 考慮到2015年和2016年, SplashData公司的前25名的名單中出現了“1qaz2wsx”和“1q2w3e4r”這樣的密碼。 使用者試圖遵循這些規則, 但使用順序的關鍵變化或常見的模式會破壞這個規則應該完成的好處。 密碼破解者知道順序鍵模式, 也可以查看鍵盤以查找潛在的模式。
但是使用順序鍵變化或普通模式破壞了這個規則應該完成的好處。 密碼破解者知道順序鍵模式, 也可以查看鍵盤來尋找潛在的模式。
密碼誤區2:良好的密碼必須非常長
真相:設置的密碼當然越長越好,
人們甚至不需要使用符號和數位, 一個40個字元長的混合密碼將需要一千多年的時間才能破解。 顯然, 密碼較長是一種安全方式(在存儲密碼之前使用雜湊技術也很重要,
讓人們來考慮一下威脅模型。 在這裡解決的最大的問題是什麼?如果最大的擔憂是有人會進入資料庫並竊取密碼雜湊, 那麼設置非常長而複雜的密碼絕對是必要的事情。 但企業最關心的是密碼重用和網路釣魚, 在這種情況下密碼的長度並不重要。 如果攻擊者已經通過網路釣魚活動獲取了實際的密碼, 那麼密碼是8個, 20個或者50個字元都無關緊要。 攻擊者只需複製並粘貼就可以。 如果使用者被要求輸入20個字元的密碼, 並且沒有密碼管理器, 那麼密碼將被重用。 這是給定的。
需要保護的是什麼?這也很重要。 對於可能被認為是低風險的東西, 也許當地的公共圖書館, 採用8個字元的密碼就足夠了。 對於涉及財務事項則需要更長的密碼。安全是一個權衡,保護最有價值的帳戶和諾克斯級保護。不要重複使用密碼,提防釣魚詐騙,對於許多帳戶來說,採用8個字元的密碼就足夠好。這就是為什麼美國國家標準和技術協會(NIST)的最新指南沒有任何內容要求密碼長度超過8個字元的原因。
還有一個問題:密碼太長,使用者更容易使用“忘記密碼”?並使用基於知識的答案重置密碼。那麼他人更容易猜出其寵物或其長大的城市的名稱,這比猜測其密碼要容易得多。
密碼誤區3:千萬不要隨意寫下密碼
真相:更多的是如何去做。而除了使用“password1”作為密碼之外,對於密碼最不安全的行為是記錄密碼之後,將其放在不安全的場合。然而,這並不是一個可怕的想法。不要把它寫在一個便條上或記在電腦的文本中。而是在寫下較長而複雜的密碼,放在自己的錢包中,同時還要牢記在腦海中。殺毒軟體商Sophos公司的安全專家Chet Wisniewski說,他也會寫下重要的密碼,並把它們存放在一個保險箱裡。
密碼誤區4:定期強制更改密碼提高安全性
真相:這只能讓使用者更從地選擇弱密碼。直到最近,要求常規密碼更改才是企業安全政策的主要內容。一些組織甚至指定最小密碼的位元數,防止密碼的重複使用和最小數量的字元更改,以確保新密碼與前一個密碼具有“足夠不同”。 強制性的密碼更改是有意義的,當人們擔心密碼可能被洩露或暴露時,強制密碼重置是一個好主意。但是,隨著時間的推移,人們真的定期更改密碼了嗎?
美國國家標準和技術協會(NIST)新的建議表明,要讓密碼安全設置不要過於複雜,因為精心制定的規則使使用者更難完成工作,並提高了執行和執行規則的管理和支援成本。定期更改密碼聽起來不錯,但這會讓用戶更難記住最新的密碼。他們通過重複使用密碼或創建易於猜測的模式來做出回應(例如從password1,password12,password123等進行切換,就是這樣的一個模式)。
對於涉及財務事項則需要更長的密碼。安全是一個權衡,保護最有價值的帳戶和諾克斯級保護。不要重複使用密碼,提防釣魚詐騙,對於許多帳戶來說,採用8個字元的密碼就足夠好。這就是為什麼美國國家標準和技術協會(NIST)的最新指南沒有任何內容要求密碼長度超過8個字元的原因。還有一個問題:密碼太長,使用者更容易使用“忘記密碼”?並使用基於知識的答案重置密碼。那麼他人更容易猜出其寵物或其長大的城市的名稱,這比猜測其密碼要容易得多。
密碼誤區3:千萬不要隨意寫下密碼
真相:更多的是如何去做。而除了使用“password1”作為密碼之外,對於密碼最不安全的行為是記錄密碼之後,將其放在不安全的場合。然而,這並不是一個可怕的想法。不要把它寫在一個便條上或記在電腦的文本中。而是在寫下較長而複雜的密碼,放在自己的錢包中,同時還要牢記在腦海中。殺毒軟體商Sophos公司的安全專家Chet Wisniewski說,他也會寫下重要的密碼,並把它們存放在一個保險箱裡。
密碼誤區4:定期強制更改密碼提高安全性
真相:這只能讓使用者更從地選擇弱密碼。直到最近,要求常規密碼更改才是企業安全政策的主要內容。一些組織甚至指定最小密碼的位元數,防止密碼的重複使用和最小數量的字元更改,以確保新密碼與前一個密碼具有“足夠不同”。 強制性的密碼更改是有意義的,當人們擔心密碼可能被洩露或暴露時,強制密碼重置是一個好主意。但是,隨著時間的推移,人們真的定期更改密碼了嗎?
美國國家標準和技術協會(NIST)新的建議表明,要讓密碼安全設置不要過於複雜,因為精心制定的規則使使用者更難完成工作,並提高了執行和執行規則的管理和支援成本。定期更改密碼聽起來不錯,但這會讓用戶更難記住最新的密碼。他們通過重複使用密碼或創建易於猜測的模式來做出回應(例如從password1,password12,password123等進行切換,就是這樣的一個模式)。