2783
6
0
2018-04-20 11:42:36
2018-04-20
原美國國家標(biāo)準(zhǔn)局NBS,現(xiàn)美國國家標(biāo)準(zhǔn)與技術(shù)研究院NIST的前主管Bill Burr曾在2003年領(lǐng)導(dǎo)制定了密碼使用標(biāo)準(zhǔn)《電子驗(yàn)證指導(dǎo)原則》,要求密碼必須含有大小寫字母、特殊符號(hào)、數(shù)字等,建議定期更換密碼。由于多數(shù)網(wǎng)站采用了這些原則,如何記住密碼成了絕大多數(shù)人的噩夢(mèng),非常“燒腦”,“密碼疲勞”問題嚴(yán)重。于是很多人將密碼寫在便利貼貼在屏幕上,或?qū)懺谝粋€(gè)小本兒上,甚至干脆用“password”這樣的弱密碼。據(jù)統(tǒng)計(jì),“123456”是近1%的人使用的密碼,常年高居常用密碼榜首。已泄露、破解的密碼庫中,“police”、“police1”受到不少英國警察的青睞。
Bill Burr現(xiàn)在后悔了,覺得這些規(guī)則對(duì)大部份用戶來說太復(fù)雜,結(jié)果對(duì)強(qiáng)化安全性并沒有幫助。于是NIST頒布了一批新指導(dǎo)原則,由Paul Grassi擔(dān)任技術(shù)顧問撰寫,特別修正密碼規(guī)則,建議用戶使用一些能記住的文字組成字符串,形成“口令短語”(passphrase),像是“AliceLoveBob”。他們認(rèn)為“口令短語”更長,計(jì)算機(jī)得花數(shù)百萬年才能破解。
我認(rèn)為僅僅“長”沒有用,如果人能夠記住,多半是有限模式,同樣可以加入模式庫,并不難破解(參見為什么能記住的密碼都是弱密碼)。假設(shè)用“落霞與孤鶩齊飛,秋水共長天一色”的拼音首字母 “l(fā)xygwqfqsgctys” 連起來做密碼,看起來隨機(jī)沒規(guī)律,其實(shí)這些詩句的總量并不大,計(jì)算機(jī)很容易遍歷這些模式,而且用戶輸入時(shí)一樣燒腦,一樣易被讀心術(shù)等新技術(shù)獲取,一樣易被肩窺。我認(rèn)為Bill Burr原來的建議并沒有錯(cuò),只是現(xiàn)在賬號(hào)、密碼太多,所以才有了“密碼疲勞”問題。解決辦法不是換規(guī)則,而是采用技術(shù)手段。我的建議還是使用隨機(jī)強(qiáng)密碼,借助“登錄易”等輔助工具,完全不用自己記!
教你一招——習(xí)慣使用登錄易?,復(fù)雜密碼不用記。
登錄易?(DengLu1?) 是一款安全的密碼管理器,用戶再不需要費(fèi)心思設(shè)置就能擁有不同的復(fù)雜強(qiáng)密碼,并且不需要記憶及輸入這些密碼就能在各種終端自動(dòng)登錄上網(wǎng),既方便又安全。
下載試用請(qǐng)關(guān)注公眾號(hào):denglu-1. 長按下面二維碼可直接識(shí)別。
