2825
6
0
2018-04-20 11:42:36
2018-04-20
原美國國家標準局NBS,,現(xiàn)美國國家標準與技術研究院NIST的前主管Bill Burr曾在2003年領導制定了密碼使用標準《電子驗證指導原則》,,要求密碼必須含有大小寫字母、特殊符號,、數(shù)字等,,建議定期更換密碼,。由于多數(shù)網(wǎng)站采用了這些原則,,如何記住密碼成了絕大多數(shù)人的噩夢,,非常“燒腦”,,“密碼疲勞”問題嚴重,。于是很多人將密碼寫在便利貼貼在屏幕上,或?qū)懺谝粋€小本兒上,,甚至干脆用“password”這樣的弱密碼,。據(jù)統(tǒng)計,,“123456”是近1%的人使用的密碼,,常年高居常用密碼榜首。已泄露、破解的密碼庫中,,“police”,、“police1”受到不少英國警察的青睞。
Bill Burr現(xiàn)在后悔了,,覺得這些規(guī)則對大部份用戶來說太復雜,,結(jié)果對強化安全性并沒有幫助。于是NIST頒布了一批新指導原則,,由Paul Grassi擔任技術顧問撰寫,,特別修正密碼規(guī)則,建議用戶使用一些能記住的文字組成字符串,,形成“口令短語”(passphrase),,像是“AliceLoveBob”。他們認為“口令短語”更長,,計算機得花數(shù)百萬年才能破解,。
我認為僅僅“長”沒有用,如果人能夠記住,,多半是有限模式,,同樣可以加入模式庫,并不難破解(參見為什么能記住的密碼都是弱密碼),。假設用“落霞與孤鶩齊飛,,秋水共長天一色”的拼音首字母 “l(fā)xygwqfqsgctys” 連起來做密碼,看起來隨機沒規(guī)律,,其實這些詩句的總量并不大,,計算機很容易遍歷這些模式,而且用戶輸入時一樣燒腦,,一樣易被讀心術等新技術獲取,,一樣易被肩窺。我認為Bill Burr原來的建議并沒有錯,,只是現(xiàn)在賬號,、密碼太多,所以才有了“密碼疲勞”問題,。解決辦法不是換規(guī)則,,而是采用技術手段。我的建議還是使用隨機強密碼,,借助“登錄易”等輔助工具,,完全不用自己記!
教你一招——習慣使用登錄易?,,復雜密碼不用記,。
登錄易?(DengLu1?) 是一款安全的密碼管理器,,用戶再不需要費心思設置就能擁有不同的復雜強密碼,并且不需要記憶及輸入這些密碼就能在各種終端自動登錄上網(wǎng),,既方便又安全,。
下載試用請關注公眾號:denglu-1. 長按下面二維碼可直接識別。
