2896
6
0
2018-04-20 11:42:36
2018-04-20
原美國國家標準局NBS,現美國國家標準與技術研究院NIST的前主管Bill Burr曾在2003年領導制定了密碼使用標準《電子驗證指導原則》,要求密碼必須含有大小寫字母、特殊符號、數字等,建議定期更換密碼。由于多數網站采用了這些原則,如何記住密碼成了絕大多數人的噩夢,非常“燒腦”,“密碼疲勞”問題嚴重。于是很多人將密碼寫在便利貼貼在屏幕上,或寫在一個小本兒上,甚至干脆用“password”這樣的弱密碼。據統計,“123456”是近1%的人使用的密碼,常年高居常用密碼榜首。已泄露、破解的密碼庫中,“police”、“police1”受到不少英國警察的青睞。
Bill Burr現在后悔了,覺得這些規則對大部份用戶來說太復雜,結果對強化安全性并沒有幫助。于是NIST頒布了一批新指導原則,由Paul Grassi擔任技術顧問撰寫,特別修正密碼規則,建議用戶使用一些能記住的文字組成字符串,形成“口令短語”(passphrase),像是“AliceLoveBob”。他們認為“口令短語”更長,計算機得花數百萬年才能破解。
我認為僅僅“長”沒有用,如果人能夠記住,多半是有限模式,同樣可以加入模式庫,并不難破解(參見為什么能記住的密碼都是弱密碼)。假設用“落霞與孤鶩齊飛,秋水共長天一色”的拼音首字母 “lxygwqfqsgctys” 連起來做密碼,看起來隨機沒規律,其實這些詩句的總量并不大,計算機很容易遍歷這些模式,而且用戶輸入時一樣燒腦,一樣易被讀心術等新技術獲取,一樣易被肩窺。我認為Bill Burr原來的建議并沒有錯,只是現在賬號、密碼太多,所以才有了“密碼疲勞”問題。解決辦法不是換規則,而是采用技術手段。我的建議還是使用隨機強密碼,借助“登錄易”等輔助工具,完全不用自己記!
教你一招——習慣使用登錄易?,復雜密碼不用記。
登錄易?(DengLu1?) 是一款安全的密碼管理器,用戶再不需要費心思設置就能擁有不同的復雜強密碼,并且不需要記憶及輸入這些密碼就能在各種終端自動登錄上網,既方便又安全。
下載試用請關注公眾號:denglu-1. 長按下面二維碼可直接識別。
