親愛的tl80,我的公司和一些網站強迫我定期更改密碼,比如每三個月左右。我需要多久更改一次所有其他登入的密碼(如果有)?
已簽名、過期的密碼
親愛的SP,很多組織都要求強制更改密碼,因為這一直被認為是一種安全“最佳實踐”。然而,這一規則有其利弊,因此在您決定是否需要定期更改其他密碼之前,讓我們先看看更改密碼的時間是否有意義。
當你每隔幾個月更改一次密碼時,它會限制竊取的密碼對祕密攻擊者有用的時間,限制他/她訪問你的帳戶的時間。如果有人偷了你的密碼,而你卻不知道,攻擊者可能會無限期地竊聽並收集你的各種資訊或造成其他傷害。羅謝爾·哈特曼攝
因此,幾十年來,許多安全指南都建議頻繁更改密碼,通常在30到180天之間。Windows Server的預設值為42天。
然而,在大多數情況下,這些政策或建議現在可能已經過時。至少,頻繁更改密碼確實會提高安全性,這一點非常值得商榷。
幾年前,微軟的一項研究發現,強制修改密碼會導致幾十億的生產效率損失,而安全回報卻很低。其他電腦保安資源(例如,普渡大學、健康資訊學和lifeas-as-CIO部落格)指出,頻繁更改密碼的“最佳實踐”對提高安全性作用不大,但卻大大增加了每個人的挫敗感。使用者通常會在同一個簡單的密碼上選擇不同的密碼(例如password3),或者求助於貼在膝上型電腦上的便簽。換句話說,在某些情況下,更改密碼的要求實際上可能會增加風險。胡安·馬丁內斯攝
安全專家bruceschneier指出,在今天的大多數情況下,攻擊者不會是被動的。如果他們得到你的銀行賬戶登入,他們不會等待兩個月左右徘徊,但會轉出你的帳戶的錢馬上。在私人網路的情況下,駭客可能更隱蔽,並堅持竊聽,但他不太可能繼續使用你偷來的密碼,而是安裝後門訪問。定期更改密碼對這兩種情況都沒有多大作用(當然,在這兩種情況下,一旦發現安全漏洞並阻止入侵者,就必須立即更改密碼。)
在當今瘋狂的駭客友好系統中,頻繁的密碼更改比以往任何時候都不重要。NIST表示,密碼過期政策“與緩解破解無關”,因為駭客不僅完全掌握了我們巧妙的密碼技巧,而且擁有更先進的硬體和軟體:
一般來說,密碼過期時間對緩解破解沒有多大幫助,因為與其他密碼策略元素的影響相比,密碼過期時間對攻擊者所需花費的工作量影響很小。假設一個組織將其密碼有效期從60天縮短為30天。攻擊者只需使用兩倍的硬體資源來補償此更改。
駭客的機器每秒可以破解3480億個NTLM密碼雜湊(NTLM是Windows中使用的一種密碼加密演算法。以每秒3480億NTLM雜湊計算,任何8個字元的密碼都可能在5.5小時內被破解。)
所以,真的,每30天或90天更改一次密碼是不值得的,也不太可能提高你的安全性。這是一件好事,因為我們很多人寧願打掃廁所也不願更改密碼。
通常情況下,也有例外。對於某些型別的帳戶,駭客可能更願意“監聽”並默默地獃上幾個月,直到他們從你那裡收集到重要資訊。施奈爾指出,例如,如果你的妹妹或小報(如果你是某類名人)有你的Facebook密碼,他們很可能會一直聽,直到你更改密碼,如果你一直不知道密碼,那可能是幾個月或幾年。
一般來說,這是施奈爾的建議:
您不需要定期更改計算機或線上金融賬戶(包括零售網站上的賬戶)的密碼;絕對不是低安全性賬戶。你應該偶爾更改你的公司登入密碼,你需要仔細看看你的朋友、親戚和狗仔隊,然後再決定多久更改一次你的Facebook密碼。但是如果你和一個和你共用一臺電腦的人分手了,就把他們都換了。
我想補充一點,你可能會考慮定期更改沒有雙因素身份驗證的通訊型別站點的密碼:尤其是電子郵件,以及類似IM或會議服務的內容。這些服務對窺探者更為友好,駭客可能會在你發現之前監聽數月(另一方面,你真的應該使用雙因素身份驗證的電子郵件服務,因為如果駭客能進入它,它是一個金礦。它可能是你需要保護的最重要的帳戶,還有你的密碼管理器和計算機帳戶。)一些服務,包括Gmail、Facebook和Dropbox,會向你顯示活動會話,因此作為一般的安全預防措施,你可以檢查這些服務,以確保沒有其他人登入你的帳戶。
更重要的是,你要為所有帳戶選擇一個唯一的密碼,越長越好,並加強所有其他安全選項(雙因素身份驗證,使密碼恢復問題不可用,並備份所有內容),因為最終,無論你多久更改一次,強密碼都是不夠的。
如果你有任何薄弱或重覆的密碼任何地方,一定要改變他們儘快。另外,每一個常規的安全漏洞都是一個提醒,提醒你不僅要檢查和更新你的密碼,還要在需要時更新你的安全設定。在這一切之後,享受內心的平靜,你正在盡你所能,並節省自己的麻煩,改變所有密碼的時間表。
愛你,生活駭客
... 那麼,哪種方法是對的?你應該多年不動密碼,還是應該像季節一樣頻繁地更改密碼?以下是頻繁更改密碼的利弊。 ...
...。想象一下一個駭客破解了這個密碼。為了安全起見,您應該為所有帳戶建立一個唯一且難以破解的密碼。 ...
...味著,如果你沒有改變你的密碼後,以前的突破,你真的應該這樣做了。如果你擔心你錯過了一個以前的資料洩露,你應該檢查你的電子郵件地址是否已經被標記,透過鍵入“我已經被遮蔽了”。 ...
... 值得注意的是:如果你有一個Microsoft帳戶,你應該花幾分鐘時間在你的Microsoft帳戶頁上更新你的安全資訊。新增一個電話號碼和第二個電子郵件地址可以讓你輕鬆地重置密碼;如果沒有它們,那就麻煩多了。 ...
...什麼是備份?為什麼我需要備份?|備份型別|主備份計劃|我應該備份哪些檔案?|我應該多久備份一次?|備份策略|備份工具|我應該將備份儲存在哪裡?|如何備份和恢復作業系統? ...
...側邊欄底部的“密碼選項…”開啟它們。在這裡,您可以更改一個節必須空閒的時間,以便它自動鎖定,或者將所有節設定為在您離開時立即鎖定。您可以隨時按快捷鍵CTRL+ALT+L立即鎖定所有受密碼保護的分割槽。 ...
... 在這種情況下,您應該檢視Instagram帳戶上以前的活動。看看你的故事、帖子、評論和直接訊息,找出你不知道的任何變化或更新。如果你的一個朋友侵入了你的帳戶,你可以透過這種方式找...
... Windows10和macOS的預設安全選項是可以的,但您應該始終考慮擴充套件該安全性以獲得最大的保護。檢視我們為您的系統提供的最佳安全和防病毒工具列表。這些都是以Windows為中心的,但許多都有macOS等價物,值得一小...