您多久更改一次密码?我们打赌你的一些证书已经有十多年的历史了。
事实上,我们中的大多数人只有在情况迫使我们更改密码时才更改密码。通常情况下,要么是你记不起来了,要么是某个应用程序或你的公司强迫你每隔几个月创建一个新的应用程序。
那么,哪种方法是对的?你应该多年不动密码,还是应该像季节一样频繁地更改密码?以下是频繁更改密码的利弊。
人们普遍认为,频繁更改密码会使您的帐户更安全。
这一论点表明,如果你是泄露的不知情受害者,定期更改密码可以很快否定一个潜在黑客在文件中的细节。
同样,如果有人在你不知情的情况下获取了你的密码,这将防止该人在较长时间内窥探你。这就是为什么全国各地的It经理如此痴迷于每隔几周就给你一次强制重置。
这个论点有效吗?是的,但并不像你想象的那么清晰。即使假设您的新密码与以前的密码一样强大(稍后将详细介绍),这种做法的好处也微乎其微。
在卡尔顿大学的一篇论文中,研究人员解释说,能够访问散列密码文件的攻击者可以在离线时执行攻击。因此,它们可以在短时间内测试大量密码。弱强度和中等强度的密码存在风险。
论文接着从数学上证明,即使频繁的强密码更改也只会对攻击造成微不足道的阻碍。这种好处几乎肯定不值得它给用户带来的不便。
相反,本文建议系统管理员应该使用bcrypt之类的慢散列函数。用户不会感到不便,而且该过程使攻击者更难快速猜出大量密码。
我相信您不需要我们来告诉您如何创建强密码,但这些信息始终值得重复:
这四点说起来容易做起来难。创建满足所有要求的密码——然后记住它们——需要大量的精力。
那么,当人们过于频繁地更改凭据时会发生什么?简言之,他们变得懒惰。
同样,这是一个科学证明的现象。2010年,北卡罗来纳大学(University of North Carolina)的研究人员发表了一篇题为“现代密码过期的安全性:一个算法框架和实证分析[breaked URL Removed]”的论文。在这篇论文中,他们研究了该大学失效账户的密码历史。
这项研究调查了1万多个旧账户和51141个密码。研究人员进行了离线哈希攻击,最终破解了60%的凭证。从这60%的人中,7752个密码不是账户上使用的最终密码。
然后,他们使用该数据集来查看是否可以外推连接到帐户的其他密码。结果是惊人的。在17%的情况下,在5秒内就可以猜到帐户上使用的下一个密码。
但为什么呢?这项研究得出结论,人们在频繁更改密码时往往会做出非常微小的改动。例如,香肠123可能变成$ausage123,hellocheese!会变成地狱狼!!,等等。
一开始,我开玩笑说,你可能有一些密码,这是接近他们的十岁生日。但这是个玩笑吗?
到目前为止,我们看到的证据似乎表明,长期存在的密码实际上可能是一件好事。真相是什么?你只需要一点常识。
当然,如果您怀疑有人未经您的授权访问您的帐户,您应该更改您的密码。如果您在输入您的网上银行凭据时认为有人在监视,则应更改您的密码。如果你不得不把你的密码“借”给别人,你应该修改它。
如果你认为你不小心成为了网络钓鱼骗局的受害者,你应该更改你的密码。
在所有情况下,您都需要确保新密码与旧密码没有相似之处。不要用同一个核心词。不要把相同的特殊字符放在相同的位置。也不要试着把旧密码写反。
请记住,您还应该通过使用类似凭据的任何其他帐户更改密码。例如,如果你的Facebook密码是flowerpot1,Twitter密码是1flowerpot,你应该同时更改它们。
如果您不确定,那么在创建新密码时,只需遵循本文前面讨论的四个基本准则。
但是强制密码重置呢?应用程序或你的雇主强制你输入新密码是个好主意吗?可能不会。
2009年,美国国家标准与技术研究院(National Institute of Standards and Technology)表示,定期更改密码“有利于减少某些密码泄露的影响”,但“对其他人无效”。当然,用户经常会因为强制更改而感到沮丧。公司需要在安全性和可用性之间达成妥协。
这些论点听起来可能很复杂,但很容易总结。
现在我们想听听你对辩论的看法。您对自己定期选择安全密码的能力有信心吗?或者在你所有的账户上使用一个十年前的密码你高兴吗?
请记住,如果您经常创建复杂的新密码,您可以使用类似LastPass的密码管理应用程序。你不需要自己回忆密码。
...码维护安全,您必须每隔几周或几个月更新一次密码。越频繁越好。你可以用几种不同的方法来做。以下是一些简单的想法。 ...
...限制SSH登录使用SSH密钥对,而不是密码登录。然后您应该更改默认SSH端口并禁用root登录。只需键入以下内容即可打开SSH配置: ...
...每个帐户创建唯一而复杂的字符串。 密码更改器——密码更改器可以更改最弱的密码,而无需分别登录每个帐户。 ...
... 您将不再需要验证码,除非您注销、删除设备或更改密码。如果您启用了2FA,您可以从任何受信任的设备重置Apple ID或iCloud密码。 ...
...访问你的帐户。除了这些凭证之外,它们还需要一个定期更改的数字键——只有您才能拥有它。 ...
密码对您的互联网安全至关重要。但是有这么多的在线和离线服务,很难跟踪你的密码。无密码登录系统开始兴起,取消了每次登录服务时输入密码的要求。 ...
... 这里最简单的解决方案是更频繁地重新启动机器。如果这还不够,您可以手动清除macOS缓存,这将创建比简单地让macOS自己处理进程更多的可用空间。如果你不想弄脏你的手,你可以使用像cleanmymmacx...
...态加密而不是它的替代方案可以确保隐私和处理、计算和更改数据的能力,而无需解密数据。这对服务提供商来说是一种双赢,因为它增加了他们的可信度,对您来说也是一种双赢,因为您的数据同时变得隐私和安全。 ...