密碼專家自我推翻：複雜密碼以及頻繁更換並不安全

北京時間8月10日下午消息，一些專家十多年前曾經就計算機密碼問題向用戶提供一份指南，比爾·伯爾（Bill Burr）正是指南的作者。對於當年給出的一些建議，伯克感到後悔。

比爾·伯爾曾建議用戶每隔90天修改一次密碼，在辭彙中加入大寫字母、數字或者符號，例如，「protected」可以變成「pr0t3cT3d4!」。現在伯克相信，這種建議在實踐中遭遇挫折。他已經知道2003年的手冊搞錯了對象。

按照現在的建議，用戶不需要頻繁更換密碼，因為用戶在更換時一般只會對現有密碼進行微小的修改，比如將「monkey1」變成「monkey2」，要推斷並不難。

另外，事實證明如果將辭彙隨機混合，破解會更難一些，比如「pig coffee wandered black」，用容易記住的部分替代辭彙反而更容易破解，比如換成「br0k3n!」。

美國國家標準技術研究所（NIST）曾經宣傳過伯爾的建議。之後指南修改過幾次，最近一個版本是6月份發布的。薩里大學（University of Surrey）教授阿蘭·伍德沃德（Alan Woodward）認為：「NIST發布的任何東西都是有影響力的，所以這些指南影響了很長一段時間。」他還說：「在相當長的一段時間內，我們已經知道這些指南造成了不良影響。例如，如果你讓用戶頻繁更換密碼，他們選擇的密碼一般會變弱。因為我們有許多線上帳戶，情況變得更複雜，所以會鼓勵用戶採取一些行動，比如使用跨系統重複使用密碼。」

2015年，英國國家網路安全中心(National Cyber Security Centre，簡稱NCSC)也發布了自己的指南。NCSC建議機構放棄之前的政策，不要鼓勵用戶定期重設密碼，應該讓用戶使用密碼管理器，所謂密碼管理器是一種程序，它能存儲幾百個不同的登錄密碼，不需要每一個都記住。

英國倫敦大學學院博士史蒂夫·默多克（Steven Murdoch）認為：「根據新跡象對密碼建議升級，這是一件好事。但在計算機安全的其它領域還有一些老建議廣泛流行，我們明明知道它們不管用。什麼安全建議能夠改善現狀，需要讓研究來告訴我們，政府和企業應該對結果多多留意。」

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！