设个密码要大小写,还要数字加符号?当年发明的人表示:对不起,

设个密码要大小写,还要数字加符号?当年发明的人表示:对不起,

Bill Burr 在 2003 年为美国政府工作时,写下了密码安全领域的「圣经」:使用大写字母、数字和非字母符号,原因是,複杂的密码难以被猜到;另外,Burr 也建议经常更换密码。

所以,Burr 是下列事情的始作俑者:迫使我们想出「Wohao5huA!」或者「[email protected]」这样折磨打字人的密码;迫使我们记住像「[email protected]」这样的系统分配密码;根据公司 IT 部门的要求,90 天,更换一次密码。

「我错了,科技输给人性」

现在,Burr 承认,他的建议是错的,这些办法实际上不能提高密码的安全性。相反,这些密码组合会让电脑系统更容易受到攻击,因为用户在创造了一个複杂密码之后,会重複使用这些密码,或者为了防止遗忘,会写下来贴到电脑旁边。而且,数字和符号的加入并没有让电脑更加免疫于黑客尝试所有组合可能性的「强力(brute force)」攻击。

定期更换密码的建议也是错误的。因为密码複杂,所以用户只会更换其中一个字母或数字,例如把「Wohao5huA!」改成「Wohao5huA?」。这种更改对阻止黑客来说毫无意义。而且,定期更改密码引起的不便比有限的密码安全更糟糕。

新的密码指南

现在,美国国家科学技术研究所的线上密码指南已经更新,并提醒用户避免传统误区:

数亿人在过去 10 多年间遵循了这个看似有道理的密码原则,但是却没有考虑到行为因素的叠加。 我从没意识到密码安全包括了密码本身的安全,还有我们对待密码的态度和使用方式。 对于产品经理来说,这个经验很重要:如果产品不够简单,那幺用户可能根本不会按照预想的方式使用这个产品。

只是,对于普通用户来说,我很难想像生活中还有多少我们完全不懂为什幺但是还依然遵照的原则。

上一篇: 下一篇: