游客

密码专家14年后承认自己错了:复杂密码并不能提高安全性

游客 2017-08-10 11:44:34    201385 次浏览

密码专家14年后承认自己错了:复杂密码并不能提高安全性

腾讯科技讯,据外媒报道,这是让很多办公室白领都感到头疼的事情:为了安全起见,他们不得不设置非常复杂和难以记住的密码,其中还充满了各种随机的数字和符号。

但是,当初推荐使用这种“安全密码”的密码专家,在 14 年后,承认自己完全弄错了。

在 2013 年,比尔-伯尔(Bill Burr)为美国政府工作的时候曾撰写了被视为安全密码圣经的指南。这些安全密码指南建议用户在密码中使用大写字母、数字和非字母表中的符号,从而让别人更难猜出来。

现在,一些办公室和网站要求人们在设置密码时采用类似P@55w0rd 或 Football123 的形式。一些 IT 部门要求员工每 90 天更换一个新的密码。

但是,这样的密码并没有提高安全性,反而让电脑系统变得更不安全了,因为用户会反复使用相同的密码或将密码记在电脑屏幕上的记事本上以防止自己遗忘。

加入数字和符号并不能提高密码对于“暴力破解”网络攻击的免疫力。在暴力破解中,电脑会不断尝试各种字母组合,直到猜对密码。

“我现在很后悔当年的建议。”伯尔说。他现在已退休了。“我完全搞错了方向。”

他还表示,定期修改密码的建议也是错误的,因为大多数人往往只会更改一个字母,例如将密码 username1 改成 username2,而这样做根本无法阻止黑客攻击。

在 2015 年,英国最高情报机构政府通讯总部(GCHQ)建议公司停止重置密码,声称这样做并不能提高安全性,只会增加用户的不便。

伯尔当初为美国国家科学技术研究所撰写的密码安全指南,最近已进行了修订,删掉了一些过时的、无用的建议。

新的安全密码指南建议人们使用很长但却很好记的由一组词构成的密码,而不必设置特别的字母或数字。例如,使用 horsecarrotsaddlestable 这样的密码,黑客 1 万亿年也破解不了。它远比类似P@55w0rd 这样的密码安全。

内容加载中