氧在过去十年左右的时间里,随着我们越来越多的工作和家庭生活转移到互联网上,人们已经积累了数十个网站和应用程序的大量登录信息。这就是为什么如此多的 IT 部门顽强地坚持维护密码管理的主要障碍,这是毫无意义的。即需要定期更改密码。
这是一个熟悉的场景。您到达办公室后,需要在早会之前快速登录公司笔记本电脑。但今天速度不再是最重要的,因为出现了一个烦人的提示:您需要更改密码。
那么,谢天谢地,美国政府出台了新的指导意见,该指导意见建议结束这种强制密码重置的要求。此前,美国国家标准与技术研究院 (NIST) 建议各组织强制密码每 365 天过期一次,但现在表示根本没有必要 — 除非密码因泄露而被泄露。
这对这种做法来说是又一个致命一击,美国联邦贸易委员会、微软和英国国家网络安全中心 (NCSC) 等组织不再推荐这种做法——该中心自 2015 年以来一直建议不要定期更改密码。
事实上,随着人们的数字足迹达到难以管理的水平,NIST 才刚刚赶上普遍共识,导致密码堆积如山,难以记住,更不用说更改了。
定期更改密码的问题很容易想象,尤其是在工作中。您想要进入所需的网站,您很匆忙,您感觉没有发挥出最大的创造力 – 坦率地说,您并不关心登录需要做什么。曾经的“password1”变成了“密码2”,一旦您成功访问该网站,您就会忘记它。
攻击者知道这些模式,因此如果他们能够算出您的旧密码,他们也能够猜出您的新密码。
“这是违反直觉的安全场景之一;英国 NCSC 以人为本的安全负责人 Emma W 表示:“用户被迫更改密码的频率越高,整体遭受攻击的脆弱性就越大。” “如果攻击者拥有旧密码,他们通常可以算出新密码。而被迫更改另一个密码的用户通常会选择一个他们不会忘记的较弱的密码。”
研究表明,尽管政府和行业发出警告,但人们总体上仍在使用过于简单的用户名或密码。网络安全专家 Redcentric 最近的一份报告表明,五分之一的人仅使用一两个密码来访问所有在线登录信息。
如果人们一开始就不善于选择密码,那么更改密码并不能解决问题。密码管理器公司 NordPass 的年度研究揭示了每年最常见且最容易破解的凭据,并且相同的凭据经常出现。除了预期的“password1”和“1234567”之外,人们经常重新使用最喜欢的足球队或名人的名字。
科技巨头知道密码是一个有缺陷的系统,因此他们已经开始做出改变以完全摆脱密码,其中包括 FIDO 联盟等行业倡议。这些旨在推动用户使用生物识别技术,例如苹果的 Face ID 和 Touch ID,甚至是 Yubico YubiKey 等物理令牌,但目前,它们只是密码的补充,而不是取代密码。
那么密码本身又如何呢?我们是否应该选择一组复杂的数字、字母和独特字符来组成我们的登录信息?显然不是。
包括 NIST 在内的专家现在表示,使用你能记住的东西要好得多。根据最新指南,密码应至少为 8 个字符(最好是 15 个字符),最多 64 个字符。那么,一首晦涩但令人难忘的歌词,或者您喜欢的书中的一句台词(只是不要使用两个城市的故事;这太明显了)。
或者更好的是,NCSC 建议使用三个随机单词来创建一个“足够长、足够强”的密码来保护您的帐户。
但如果您正在考虑更改密码中的某些字符(例如将字母“o”替换为零),NCSC 会警告网络犯罪分子也知道这些技巧。 “你的密码不会变得更强,但你会更难记住,”NCSC 表示。
那么人们应该做什么呢?首先,请关注 NCSC 和 NIST 指南,因为这些机构确实了解安全方面的最新研究,这可以帮助您选择个人密码。
在工作中,您应该遵循 IT 部门的建议,也许还可以让他们了解 NCSC 和 NIST 指南(如果他们还没有了解)。
NIST 指南标志着对过去僵化观点的转变。美国帮助制定了科技世界的标准,他们表示,在人们所在的地方与他们见面更为现实,接受他们具有不同水平的技术能力,这最终应该有助于让每个人都更加安全。
关键词:
