密码的最佳实践更新后,原作者后悔他的建议

一位在2003年推广这些技巧的专家说,我们在设计自定义密码时使用的绝大多数可信的技巧和窍门实际上使我们更容易受到黑客的攻击,前美国国家标准与技术研究所(National Institute of Standards and Technology)经理比尔•伯尔(Bill Burr)承认,他撰写的一份关于设计强密码的文件被误导了我所做的很多事现在都让我后悔了,”72岁的伯尔说,他现在已经退休了。...

一位在2003年推广这些技巧的专家说,我们在设计自定义密码时使用的绝大多数可信的技巧和窍门实际上使我们更容易受到黑客的攻击,前美国国家标准与技术研究所(National Institute of Standards and Technology)经理比尔•伯尔(Bill Burr)承认,他撰写的一份关于设计强密码的文件被误导了我所做的很多事现在都让我后悔了,”72岁的伯尔说,他现在已经退休了。

007Ys3FFgy1gqz0mvx9qpj61ko11s7lc02

问题不在于伯尔建议人们使用天生容易破解的密码,而在于他的建议引导日常电脑用户倾向于懒惰的错误和容易预测的做法。Burr的八页密码文件名为“NIST特别出版物800-63附录A”,建议人们使用不规则的大写字母、特殊字符和至少一个数字。可能会产生类似“的密码”P@ssW0rd123!” 虽然这可能使它表面上看起来很安全(当然,忽略了“密码”是一个坏密码),但问题是,大多数人在**这些数字组合锁时倾向于使用相同的确切技术。这就产生了黑客可以轻易预测的字符串和数字,以及专门针对这些弱点的算法。

更糟糕的是,伯尔建议人们应该定期更换密码,至少每90天一次。这一建议随后被学术机构、**机构和大型企业采纳,促使用户轻松破解密码。大多数人可能会指向他们创建的一个密码,因为它有一个特殊的字符,比如“!”或者“?”符号和一个像“123”这样的数字字符串。当提示更改密码时,谁没有稍微更改一下密码以避免产生一个全新代码的麻烦?

2011年8月,漫画家兰德尔·门罗(Randall Munroe)出版了一本颇受欢迎的xkcd漫画,该漫画指出了密码“Tr0ub4dor&3“可以用标准技术在大约三天内破解,因为它可以预测大小写、数字替换和特殊字符的使用。密码“正确的马电池钉”,写为一个短语,将需要550年(据《华尔街日报》报道,安全专家证实了门罗的计算方法。“通过20年的努力,我们正确地训练了每个人使用密码,这些密码人类很难记住,但计算机很容易猜到,”门罗在底部写道。

007Ys3FFgy1gqz0mx0tx5j60kk0gpju002

换句话说,你应该使用的密码是晦涩难懂的,几乎无法解释的短语,充满了人类的随机性,这使得它们很容易被存储起来,但对于一个自动化系统来说,几乎不可能理解。当然,对于那些使用像LastPass这样的密码管理器的用户,您可以动态生成加密安全的密码。但拥有一个难以破解的主密码仍然很重要。

伯尔承认自己的建议:“最终,这可能太复杂了,很多人无法很好地理解,事实是,这是错误的做法。”。由技术顾问保罗格拉西(paulgrassi)撰写的新NIST标准在6月份发布,取消了伯尔的许多建议。

格拉西告诉《华尔街日报》:“我们最终从零开始。但伯尔可能夸大了他的密码建议的负面影响,格拉西补充说:“他写了一份安全文件,保存了10到15年。我只希望有一份文件能坚持那么久。”

  • 发表于 2021-05-29 08:58
  • 阅读 ( 162 )
  • 分类:互联网

你可能感兴趣的文章

5 excel文档设置您千万不要忘记检查

... 4确保获取密码列表 ...

  • 发布于 2021-03-13 08:07
  • 阅读 ( 177 )

在linux上保护隐私的10大技巧

... 1密码保护您的帐户 ...

  • 发布于 2021-03-13 08:16
  • 阅读 ( 433 )

后悔更新Windows10?如何还原到早期版本

...遇到的问题)之后,Windows将确保您手头有上一个版本的密码。如果确定要返回,请单击“上一次返回早期版本”按钮,让您的计算机执行一段时间。 ...

  • 发布于 2021-03-15 00:03
  • 阅读 ( 181 )

您是否已采取以下5个步骤来保护您的在线帐户?

... 我们经常听到恶意分子获得私人帐户和密码。即使是像Gmail这样的大型服务也泄露了4200万个帐户凭据。有这么多的在线服务,你怎么知道你的帐户凭据是否已经知道? ...

  • 发布于 2021-03-17 06:04
  • 阅读 ( 231 )

5个密码工具,用于创建强密码短语和更新安全性

你的密码容易被黑客破解吗?如果你做了一个复杂的密码,你应该怎么记住它?这些应用程序将使用新的强密码升级您的安全性,您可以跨帐户快速更新。 ...

  • 发布于 2021-03-19 21:41
  • 阅读 ( 255 )

instagram不会在卷轴上推广tiktok

...ators Instagram帐户上发布了一个帖子,公布了一份新的卷筒最佳实践清单。 ...

  • 发布于 2021-03-26 18:11
  • 阅读 ( 162 )

从steam购买游戏安全吗?

...外的风险使用它的蒸汽。只要确保你使用一个强大的贝宝密码,以保护它持有的敏感细节。 ...

  • 发布于 2021-03-30 00:01
  • 阅读 ( 618 )

如何锁定teamviewer以实现更安全的远程访问

...个文件,运行那个文件,让他给你简单的数字计算机ID和密码,然后砰的一声,你控制了他的计算机,解决了危机。但是让TeamViewer保持这种简单的首次运行模式(对于那些一次性的紧急情况,这种模式实际上应该只在这种简单的...

  • 发布于 2021-04-07 00:36
  • 阅读 ( 216 )

psa:现在加密你的pc、手机和平板电脑。如果你不这样做,你以后会后悔的

...算机上保存您的银行对账单和世界控制计划,但您是否将密码保存在浏览器中?你是否继续登录到电子邮件中?你有没有接触到任何与工作有关的东西?这种东西会把小偷带进你的生活。即使您的用户帐户有密码,如果您的设备...

  • 发布于 2021-04-09 11:51
  • 阅读 ( 186 )

如何保护和管理亲戚的电脑

...能造成的损害。使用有限的用户帐户,如果不输入管理员密码,用户将无法安装软件或更改系统设置。您可以为自己保留管理员密码,这样就可以在未经您许可的情况下安装软件或更改系统设置。或者,你可以给电脑用户管理员...

  • 发布于 2021-04-11 09:04
  • 阅读 ( 153 )
吵闹小小
吵闹小小

0 篇文章

相关推荐