想要更強密碼?看這4個常見的密碼安全誤區
設置密碼是確保人們安全關閉和調出應用程序的一種方式,為數據和信息提供保障。但現實是密碼仍然十分重要。電子郵件或社交媒體,網上銀行或網絡游戲,應用程序或網絡服務,這些應用所保持的某種用戶數據仍然依賴于密碼進行保護。如果用戶沒有更好地進行加密,那么攻擊者將會快速竊取銀行帳戶并接管網絡服務。
人們都知道一些基本常識,例如不能使用“password”這樣簡單的詞匯作為密碼。如果可能的話,最好在網上帳戶上啟用雙因素身份驗證,通過短信發送密碼要比不采取任何措施要好得多,并使用密碼管理器來跟蹤所有的密碼。不幸的是,很多關于密碼的建議聽起來很合理,但需要一定的場景才能有所實現。以下是一些人們常有的密碼誤區,需要進行澄清。
密碼誤區1:密碼需要大小寫,數字和特殊字符的混合
真相:復雜密碼可以提供更多的安全限制。是的,“letmein”是一個糟糕的密碼,但是“Password1”,“Abc123”和“Passw0rd”并不會更好,盡管這是字母和數字混合的案例。
根據字典詞匯來創建密碼是一個糟糕的想法。將一些字母替換為數字或符號也不是一個聰明或獨特的想法。密碼破解者知道在其查找表中包含“vuln3rabl3”或“trustno1”等字樣。事實上,后者這樣的密碼在2014年已在美國調研機構SplashData公司選出的前25名最常用的密碼列表之中。
為了公平起見,使用字母的大小寫,數字和特殊字符的混合作為密碼要比使用小寫字母更強大。雖然精確數字將隨著處理能力而變化,但現代計算機只需要兩天的時間就可以破解全部為小寫字母的8個字符密碼(因為有26的8次方或208,827,064,576種可能的組合),而如果采用一個大型僵尸網絡破解只需1.8秒。而采用特殊的符號或顛倒的組合等混合的方法有助于減緩破解,
如果字符串并不是隨機的,采用字母大小寫,數字和特殊字符的所有混合都不會有任何好處。考慮到2015年和2016年,SplashData公司的前25名的名單中出現了“1qaz2wsx”和“1q2w3e4r”這樣的密碼。用戶試圖遵循這些規則,但使用順序的關鍵變化或常見的模式會破壞這個規則應該完成的好處。密碼破解者知道順序鍵模式,也可以查看鍵盤以查找潛在的模式。
但是使用順序鍵變化或普通模式破壞了這個規則應該完成的好處。密碼破解者知道順序鍵模式,也可以查看鍵盤來尋找潛在的模式。
密碼誤區2:良好的密碼必須非常長
真相:設置的密碼當然越長越好,但8到12個字符就足夠了。設置更長的密碼這并沒有錯,因為破解長度較短的密碼比長度較長的密碼的時間要少得多。攻擊者嘗試破解只有6個字符的密碼要比一個8個字符甚至10個字符的密碼更容易一些。對于現代計算機來說,使用字母大小寫和數字混合的8個字符的密碼將需要5.88年的時間來破解,但是采用僵尸網絡只需要31分鐘。而將密碼增加到10個字符,僵尸網絡進行破解需要83天。例如"%ZBGbv]8g?"這個 10個字符的密碼在電腦上破解可能需要289217年,而采用僵尸網絡可能需要3年時間。
人們甚至不需要使用符號和數字,一個40個字符長的混合密碼將需要一千多年的時間才能破解。顯然,密碼較長是一種安全方式(在存儲密碼之前使用哈希技術也很重要,但這并不重要。)
讓人們來考慮一下威脅模型。在這里解決的最大的問題是什么?如果最大的擔憂是有人會進入數據庫并竊取密碼哈希,那么設置非常長而復雜的密碼絕對是必要的事情。但企業最關心的是密碼重用和網絡釣魚,在這種情況下密碼的長度并不重要。如果攻擊者已經通過網絡釣魚活動獲取了實際的密碼,那么密碼是8個,20個或者50個字符都無關緊要。攻擊者只需復制并粘貼就可以。如果用戶被要求輸入20個字符的密碼,并且沒有密碼管理器,那么密碼將被重用。這是給定的。
需要保護的是什么?這也很重要。對于可能被認為是低風險的東西,也許當地的公共圖書館,采用8個字符的密碼就足夠了。對于涉及財務事項則需要更長的密碼。安全是一個權衡,保護最有價值的帳戶和諾克斯級保護。不要重復使用密碼,提防釣魚詐騙,對于許多帳戶來說,采用8個字符的密碼就足夠好。這就是為什么美國國家標準和技術協會(NIST)的最新指南沒有任何內容要求密碼長度超過8個字符的原因。
還有一個問題:密碼太長,用戶更容易使用“忘記密碼”?并使用基于知識的答案重置密碼。那么他人更容易猜出其寵物或其長大的城市的名稱,這比猜測其密碼要容易得多。
密碼誤區3:千萬不要隨意寫下密碼
真相:更多的是如何去做。而除了使用“password1”作為密碼之外,對于密碼最不安全的行為是記錄密碼之后,將其放在不安全的場合。然而,這并不是一個可怕的想法。不要把它寫在一個便條上或記在電腦的文本中。而是在寫下較長而復雜的密碼,放在自己的錢包中,同時還要牢記在腦海中。殺毒軟件商Sophos公司的安全專家Chet Wisniewski說,他也會寫下重要的密碼,并把它們存放在一個保險箱里。
密碼誤區4:定期強制更改密碼提高安全性
真相:這只能讓用戶更從地選擇弱密碼。直到最近,要求常規密碼更改才是企業安全政策的主要內容。一些組織甚至指定最小密碼的位數,防止密碼的重復使用和最小數量的字符更改,以確保新密碼與前一個密碼具有“足夠不同”。 強制性的密碼更改是有意義的,當人們擔心密碼可能被泄露或暴露時,強制密碼重置是一個好主意。但是,隨著時間的推移,人們真的定期更改密碼了嗎?
美國國家標準和技術協會(NIST)新的建議表明,要讓密碼安全設置不要過于復雜,因為精心制定的規則使用戶更難完成工作,并提高了執行和執行規則的管理和支持成本。定期更改密碼聽起來不錯,但這會讓用戶更難記住最新的密碼。他們通過重復使用密碼或創建易于猜測的模式來做出響應(例如從password1,password12,password123等進行切換,就是這樣的一個模式)。
