跟复杂口令说拜拜 NIST新指南让口令变得简单
作者: 日期:2017年08月28日 阅:5,447

我们曾被教导说口令应该这么设:

  • 复杂
  • 使用数字、字母和特殊符号
  • 定期修改
  • 为每个App和网站设置不同的口令

这些指南常常让用户难以记忆,倍感沮丧。

如今,美国国家标准与技术研究所(NIST)准备让我们的生活轻松很多。该组织最近修订了其口令创建指南,新建议与之前的规则大相径庭。

保罗·格拉西,NIST高级标准与技术顾问,指南修订主管。他说:“传统指南产生的口令,其实是方便了坏人,而阻碍了合法用户。”

NIST建议,口令应该简单、够长,且便于记忆。短语、小写字母和普通的英文单词就很好。专家们不再推荐特殊字符和大小写字母混编,而且口令不需要过期时间。

我们关注这个问题的认知层面,也就是用户可以利用哪些工具来记忆这些东西?所以,只要你能在脑海里呈现,而其他人不能,那就是个好口令。

尽管这些规则看起来令人难以置信的简单,格拉西称,这些指南可帮助用户创建更长的口令,让黑客更难以破解。而且,无论公营还是私营产业中的计算机安全公司,都欣然接受了这些新规则。

新规则有用,因为我们创建的是更长的口令,从密码学角度比短口令更难以破解——即便短口令有特殊字符的要求。我们真的很不擅长随机口令,所以,越长越好。

之前,安全专家建议使用口令管理App来确保用户账户受到保护。格拉西称,这些App确实有用,因为它们完全随机化了口令,但却未必能保持安全。

格拉西力挺这些新指南,因为,之前的口令指南给用户造成了负面影响,而且对安全无甚帮助。用户每隔90天就修改一次口令的时候,他们往往不会对口令做太大变动。

我很确定,你不会改掉整个口令,最多变换一两个字符而已。大家都这么做,坏人也知道这情况。

 

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章