升级密码,而不是更改密码

什么是好密码?一些长的,随机的,有各种字符,数字,符号和字母的所有情况下,理想情况下,一些备份的第二身份验证方法。换句话说,你越容易记住你的密码,别人就越容易破解它(一般来说)。...
Illustration for article titled Instead of Changing Your Passwords, Upgrade Them

什么是好密码?一些长的,随机的,有各种字符,数字,符号和字母的所有情况下,理想情况下,一些备份的第二身份验证方法。换句话说,你越容易记住你的密码,别人就越容易破解它(一般来说)。

尽管这对于任何需要创建密码的人来说都应该是常识,而且有很多工具可以用来生成、存储和调用非常好的密码,但是对于这个过程,有一点需要注意的是,您可能没有考虑太多。您应该多久更改一次密码?

你可能在工作中经历过这种情况比其他任何事情都多一些恼人的通知或电子邮件让你知道是时候(再次)更改密码了。这可能是一个麻烦的过程,特别是如果你必须去多个应用程序和设备更新你的密码。

事实证明,这整个过程是非常不必要的。只要你有一个强大的密码开始,它的存在不会使它不那么强大。在一篇博客文章中,微软“Windows书呆子”和安全专家Aaron Margosis详细说明了为什么微软放弃了Windows 10和Windows Server 2019的基本安全设置中的密码过期策略:

“定期密码过期只是针对密码(或散列)在其有效期内被窃取并被未经授权的实体使用的可能性进行的防御。如果密码从未被盗过,就没有必要让它过期。如果你有证据表明密码被盗,你可能会立即采取行动,而不是等待到期来解决问题。

如果给定一个密码很可能会被窃取,那么允许窃贼继续使用该被盗密码的时间长度是多少?Windows默认值为42天。难道这不是很长时间吗?是的,但我们目前的基准是60天,过去是90天,因为强制频繁过期会带来自身的问题。如果不是给定密码会被窃取,那么你获得这些问题并没有任何好处。此外,如果您的用户愿意回答在停车场用糖果棒交换密码的调查,则无密码过期策略将对您有所帮助。

[...]

定期密码过期是一种古老而过时的非常低值的缓解措施,我们认为我们的基线不值得强制执行任何特定值。通过将其从我们的基线中移除,而不是推荐某个特定的值或不过期,组织可以选择最适合其感知需求的内容,而不会违背我们的指导。同时,我们必须重申,我们强烈建议采取额外的保护措施,尽管这些措施无法在我们的基线中表达出来。”

我是一个狂热的1Password用户喜欢它,我很欣赏应用程序如何不遗余力地让你知道你使用的密码可能是不安全的或以其他方式泄露。根据微软的建议,它没有做的是给你任何悲伤,因为你正在使用的密码是x天(或x年前)。

Illustration for article titled Instead of Changing Your Passwords, Upgrade Them

也就是说,有一个很有价值的理由改变你的密码,无论这是一个被迫的过程还是你自己决定做的。如果你是那种不检查你使用的密码是否被泄露的人,那么定期提出新的密码至少是一个很好的办法,可以用来对付那些可能公开的较弱的密码。

对此,我提出了另一个建议:与其按照任意的时间表更改密码,不如升级密码。如果你是一个完美的密码创造者,你可能不需要这一步。但是,如果你像我一样是正常人,而且你有时会对正在尝试的新服务使用较弱的密码,因为你不想麻烦地打开密码管理器并调用一个22个字符的怪物,那么你应该安排时间检查并升级你的蹩脚密码,以获得更安全的密码。

如果您使用的是密码管理器,那么就非常容易做到这一点,因为您只需扫描保存的密码列表,然后开始更新任何异常的内容:“cat12345”,而不是“1Jf”*@4,f@a9!04#*5vka*4&5%。“不过,你应该已经很清楚自己是否对自己喜欢的应用程序和服务使用了弱密码,如果你根本不使用任何密码管理器,这种情况可能更为严重。

这将是一个乏味的过程,如果你有一吨薄弱的密码,但你总是可以战略性地思考。从你最常使用的账户开始,从那里开始你的工作(同样,密码管理应用程序将使这一过程变得简单,而一个优秀的应用程序将能够在看到您在为服务使用较弱的密码时告诉您。)

当然,即使是最大的密码也能从增强中获益:尽可能使用多因素身份验证,您的帐户将更加安全。然后打印这篇文章或微软的博客文章,当你今年第八次被迫更改密码时,把它交给你的it团队。

  • 发表于 2021-05-13 19:54
  • 阅读 ( 101 )
  • 分类:互联网

你可能感兴趣的文章

锁定windows pc的6种最佳方法

...发展的产品,创造者将于4月份进行的更新是最新的重大升级。其中一个新功能是动态锁定,它可以让你在离开办公桌时自动锁定电脑。如果你不是Windows的内部人员,你将不得不等待一点这个选项,但那些在最新版本可以尝试现...

  • 发布于 2021-03-15 06:46
  • 阅读 ( 197 )

如何在不放弃密码的情况下共享在线帐户

...们临时访问一个付费帐户,这样他们就可以看看是否值得升级。 ...

  • 发布于 2021-03-17 11:47
  • 阅读 ( 218 )

5个密码工具,用于创建强密码短语和更新安全性

...码,你应该怎么记住它?这些应用程序将使用新的强密码升级您的安全性,您可以跨帐户快速更新。 ...

  • 发布于 2021-03-19 21:41
  • 阅读 ( 252 )

你应该马上更改你的twitter密码

如果你在使用Twitter,你应该更改你的密码。因为Twitter从根本上搞砸了。因此,虽然没有迹象表明任何密码已被访问,但社交网络服务强烈敦促您更改密码。 ...

  • 发布于 2021-03-25 01:36
  • 阅读 ( 122 )

如何在linux上强制用户更改密码

密码是帐户安全的基石。我们将向您展示如何在Linux网络上重置密码、设置密码过期期限和强制更改密码。 密码已经存在了近60年 自从20世纪60年代中期密码第一次出现以来,我们就一直在向计算机证明我们就是我们所说的那个...

  • 发布于 2021-04-01 09:52
  • 阅读 ( 201 )

如何在Windows10中设置密码过期日期

为了维护您的网络安全,每隔一段时间更改您计算机的密码是一个好主意。Windows10使这更容易,因为您可以设置密码过期日期。 执行此操作的步骤各不相同,具体取决于您是使用本地帐户还是Microsoft帐户登录到Windows PC,因此我...

  • 发布于 2021-04-02 20:05
  • 阅读 ( 203 )

为什么要使用密码管理器,以及如何开始

...在单个设备上****。如果要在设备之间同步密码,则需要升级到premium。但你可以免费测试。 在安全性方面,Dashlane还有另一个优势,因为您可以选择将所有密码保存在本地计算机上,而不是保存在云中。因此,您可以使用KeePass之...

  • 发布于 2021-04-08 14:53
  • 阅读 ( 210 )

比较密码管理器:lastpass vs keepass vs dashlane vs 1password

...户却受到了一点小小的冲击。要获得与LastPass相同的高级升级,你必须每年支付50美元(而不是36美元)。其中一个关键功能是在线同步,只对Dashlane高级成员可用。 从正面来看,Dashlane有LastPass没有的功能:在线/离线功能的混合...

  • 发布于 2021-04-08 20:37
  • 阅读 ( 242 )

lastpass入门指南

...要求输入主密码。 现在是开始使用LastPass检查现有登录以升级密码的好时机。 继续使用lastpass 如果你从不使用LastPass来生成和存储安全密码,那么你将比普通电脑用户高出90%以上。不过,LastPass还有很多附加功能。在主浏览器上...

  • 发布于 2021-04-08 20:40
  • 阅读 ( 160 )

你应该定期更改密码吗?

“定期更改密码”是一个常见的密码建议,但不一定是好建议。你不应该费心定期更改大多数密码-它鼓励你使用较弱的密码,浪费你的时间。 是的,在某些情况下,您需要定期更改密码。但这些可能是例外,而不是规则。告诉...

  • 发布于 2021-04-09 04:14
  • 阅读 ( 193 )
白寂孤影
白寂孤影

0 篇文章

相关推荐