游客

安全: 制定密码定期更改规则的作者表示后悔

游客 2017-08-09 19:37:46    201567 次浏览
密码组合大小写、数字和特殊字符,需要定期更改,这些要求来自于《NIST Special Publication 800-63. Appendix A》,被美国联邦机构、大学和大型企业广泛采用。现在该规则的“始作俑者”对浪费我们的时间定期改变密码表达了后悔之意(付费墙)。NIST 前不久修改了规则,不再要求定期修改密码,因为研究显示,频繁的更改密码没有预想的效果,达不到保护密码安全的目的。 Bill Burr 在 2003 年撰写该规则时是 NIST 的一位中层经理,他表示大多数人应对 90 天更改密码要求采取的做法是将现有密码略微修改一下,比如 Pa55word!1 改为 Pa55word!2,完全起不到保护作用,很容易被猜出。他对此表示后悔,称这一要求对大多数人来说太复杂,是“找错了对象”。然而在 2017 年,仍然有许多企业继续采用这一过时的要求。
内容加载中