頻繁更改密碼對您的安全有好處嗎?
您多久更改一次密碼?我們打賭你的一些證書已經有十多年的歷史了。
事實上,我們中的大多數人只有在情況迫使我們更改密碼時才更改密碼。通常情況下,要麼是你記不起來了,要麼是某個應用程序或你的公司強迫你每隔幾個月創建一個新的應用程序。
那麼,哪種方法是對的?你應該多年不動密碼,還是應該像季節一樣頻繁地更改密碼?以下是頻繁更改密碼的利弊。
它使你的帳戶(稍微)更安全
人們普遍認為,頻繁更改密碼會使您的帳戶更安全。
這一論點表明,如果你是洩露的不知情受害者,定期更改密碼可以很快否定一個潛在黑客在文件中的細節。
同樣,如果有人在你不知情的情況下獲取了你的密碼,這將防止該人在較長時間內窺探你。這就是為什麼全國各地的It經理如此痴迷於每隔幾周就給你一次強制重置。
這個論點有效嗎?是的,但並不像你想象的那麼清晰。即使假設您的新密碼與以前的密碼一樣強大(稍後將詳細介紹),這種做法的好處也微乎其微。
在卡爾頓大學的一篇論文中,研究人員解釋說,能夠訪問散列密碼文件的攻擊者可以在離線時執行攻擊。因此,它們可以在短時間內測試大量密碼。弱強度和中等強度的密碼存在風險。
論文接著從數學上證明,即使頻繁的強密碼更改也只會對攻擊造成微不足道的阻礙。這種好處幾乎肯定不值得它給用戶帶來的不便。
相反,本文建議系統管理員應該使用bcrypt之類的慢散列函數。用戶不會感到不便,而且該過程使攻擊者更難快速猜出大量密碼。
您的新密碼可能不安全
我相信您不需要我們來告訴您如何創建強密碼,但這些信息始終值得重複:
- 你的密碼應該使用字母和數字的混合。
- 它應該使用一些大寫和小寫字母。
- 理想情況下,它應該包含特殊字符。
- 長度應超過12個字符。
這四點說起來容易做起來難。創建滿足所有要求的密碼——然後記住它們——需要大量的精力。
那麼,當人們過於頻繁地更改憑據時會發生什麼?簡言之,他們變得懶惰。
同樣,這是一個科學證明的現象。2010年,北卡羅來納大學(University of North Carolina)的研究人員發表了一篇題為“現代密碼過期的安全性:一個算法框架和實證分析[breaked URL Removed]”的論文。在這篇論文中,他們研究了該大學失效賬戶的密碼歷史。
這項研究調查了1萬多箇舊賬戶和51141個密碼。研究人員進行了離線哈希攻擊,最終破解了60%的憑證。從這60%的人中,7752個密碼不是賬戶上使用的最終密碼。
然後,他們使用該數據集來查看是否可以外推連接到帳戶的其他密碼。結果是驚人的。在17%的情況下,在5秒內就可以猜到帳戶上使用的下一個密碼。
但為什麼呢?這項研究得出結論,人們在頻繁更改密碼時往往會做出非常微小的改動。例如,香腸123可能變成$ausage123,hellocheese!會變成地獄狼!!,等等。
你應該什麼時候更改密碼?
一開始,我開玩笑說,你可能有一些密碼,這是接近他們的十歲生日。但這是個玩笑嗎?
到目前為止,我們看到的證據似乎表明,長期存在的密碼實際上可能是一件好事。真相是什麼?你只需要一點常識。
當然,如果您懷疑有人未經您的授權訪問您的帳戶,您應該更改您的密碼。如果您在輸入您的網上銀行憑據時認為有人在監視,則應更改您的密碼。如果你不得不把你的密碼“借”給別人,你應該修改它。
如果你認為你不小心成為了網絡釣魚騙局的受害者,你應該更改你的密碼。
在所有情況下,您都需要確保新密碼與舊密碼沒有相似之處。不要用同一個核心詞。不要把相同的特殊字符放在相同的位置。也不要試著把舊密碼寫反。
請記住,您還應該通過使用類似憑據的任何其他帳戶更改密碼。例如,如果你的Facebook密碼是flowerpot1,Twitter密碼是1flowerpot,你應該同時更改它們。
如果您不確定,那麼在創建新密碼時,只需遵循本文前面討論的四個基本準則。
強制密碼重置怎麼辦?
但是強制密碼重置呢?應用程序或你的僱主強制你輸入新密碼是個好主意嗎?可能不會。
2009年,美國國家標準與技術研究院(National Institute of Standards and Technology)表示,定期更改密碼“有利於減少某些密碼洩露的影響”,但“對其他人無效”。當然,用戶經常會因為強制更改而感到沮喪。公司需要在安全性和可用性之間達成妥協。
底線
這些論點聽起來可能很複雜,但很容易總結。
- 用戶發起的頻繁密碼更改可能會使用戶稍微更安全,前提是新密碼非常健壯。
- 強制頻繁更改密碼通常會產生負面影響,用戶會選擇不太安全的憑據。
現在我們想聽聽你對辯論的看法。您對自己定期選擇安全密碼的能力有信心嗎?或者在你所有的賬戶上使用一個十年前的密碼你高興嗎?
請記住,如果您經常創建複雜的新密碼,您可以使用類似LastPass的密碼管理應用程序。你不需要自己回憶密碼。
- 發表於 2021-03-11 15:13
- 閱讀 ( 50 )
- 分類:安全
你可能感興趣的文章
gmail與protonmail:哪種電子郵件客戶端最適合你?
...副本放在收件箱裡” 向下滾動並單擊儲存更改。 ...
你的密碼管理器安全嗎?比較了5項服務
...、數字和特殊字元的擴充套件組合。 經常更改密碼。 ...
7個聰明的密碼管理超級能力,你必須開始使用
...全密碼進行設定,請訪問任何網站上的帳戶設定,並按照更改密碼說明進行操作。與其自己想辦法,不如讓密碼管理器來做這項工作。使用它的工具,你可以選擇你的新密碼有多少個字元,有多複雜,以及類似的選項。最重要的...
5種管理密碼的最佳lastpass替代方案
...為每個帳戶建立唯一而複雜的字串。 密碼更改器——密碼更改器可以更改最弱的密碼,而無需分別登入每個帳戶。 ...
如何讓2017年成為linux桌面年
...到的是各種桌面環境。Windows和macOS各有其自己的,您無法更改。在Linux中,透過將一個環境切換到另一個環境,可以從根本上改變計算機的外觀和感覺。有些人會覺得你已經習慣了。其他人提供了Linux和其他開源作業系統所獨有...
如何使用snapchat insights分析受眾
...,如果您注意到您的故事檢視已經下降,您可能需要考慮更改您的內容。要了解如何進行此更改,請檢查下一個功能。 ...
保持安全的8個最佳linux密碼管理器
...。我們如何管理我們在網路上建立的所有不同帳戶的所有密碼? ...
什麼是無密碼登入?他們真的安全嗎?
密碼對您的網際網路安全至關重要。但是有這麼多的線上和離線服務,很難跟蹤你的密碼。無密碼登入系統開始興起,取消了每次登入服務時輸入密碼的要求。 ...
什麼是同態加密?
...態加密而不是它的替代方案可以確保隱私和處理、計算和更改資料的能力,而無需解密資料。這對服務提供商來說是一種雙贏,因為它增加了他們的可信度,對您來說也是一種雙贏,因為您的資料同時變得隱私和安全。 ...
如何保護您的discord帳戶
...器來生成和儲存這些唯一的密碼。 要在不一致的情況下更改密碼,請從訪問“設定”選單開始。像以前一樣,點選左下角你的名字和頭像旁邊的cog圖示。在“我的帳戶”頁面上,單擊“編輯”。 選擇“更改密碼”?”. 輸入當...
