网络身份安全科普:为什么说美国人制定的密码规则又错了-凯发k8官网下载客户端

凯发k8官网下载客户端
网络身份安全科普:为什么说美国人制定的密码规则又错了
来源: 刘文印/
广东工业大学
1873
6
0
2018-04-20

原美国国家标准局nbs,现美国国家标准与技术研究院nist的前主管bill burr曾在2003年领导制定了密码使用标准《电子验证指导原则》,要求密码必须含有大小写字母、特殊符号、数字等,建议定期更换密码。由于多数网站采用了这些原则,如何记住密码成了绝大多数人的噩梦,非常“烧脑”,“密码疲劳”问题严重。于是很多人将密码写在便利贴贴在屏幕上,或写在一个小本儿上,甚至干脆用“password”这样的弱密码。据统计,“123456”是近1%的人使用的密码,常年高居常用密码榜首。已泄露、破解的密码库中,“police”、“police1”受到不少英国警察的青睐





bill burr现在后悔了,觉得这些规则对大部份用户来说太复杂,结果对强化安全性并没有帮助。于是nist颁布了一批新指导原则,由paul grassi担任技术顾问撰写,特别修正密码规则,建议用户使用一些能记住的文字组成字符串,形成“口令短语”(passphrase),像是“alicelovebob”。他们认为“口令短语”更长,计算机得花数百万年才能破解。




我认为仅仅“长”没有用,如果人能够记住,多半是有限模式,同样可以加入模式库,并不难破解(参见)。假设用“落霞与孤鹜齐飞,秋水共长天一色”的拼音首字母 “lxygwqfqsgctys” 连起来做密码,看起来随机没规律,其实这些诗句的总量并不大,计算机很容易遍历这些模式,而且用户输入时一样烧脑,一样易被读心术等新技术获取,一样易被肩窥。我认为bill burr原来的建议并没有错,只是现在账号、密码太多,所以才有了“密码疲劳”问题。解决办法不是换规则,而是采用技术手段。我的建议还是使用随机强密码,借助“登录易”等辅助工具,完全不用自己记! 


教你一招——习惯使用登录易®,复杂密码不用记。

登录易®denglu1®) 是一款安全的密码管理器,用户再不需要费心思设置就能拥有不同的复杂强密码,并且不需要记忆及输入这些密码就能在各种终端自动登录上网,既方便又安全。


下载试用请关注公众号:denglu-1. 长按下面二维码可直接识别。




登录用户可以查看和发表评论, 请前往  登录 或  注册
scholat.com 学者网
免责声明 | 关于凯发k8官网下载客户端 | 联系凯发k8官网下载客户端
联系凯发k8官网下载客户端:
网站地图