密码是一件痛苦的事。当你牢牢记住一个密码时,你的工作场所很可能会以网络安全的名义强迫你扔掉它并创建一个新密码——如果你和我一样,你会在接下来的几周里习惯性地输入旧密码。当然,你应该使用一个好的密码管理器来记录,但即使这样,这也是一件令人恼火的事。
美国国家标准与技术研究所 (NIST) 发布了最新版本的数字身份指南,而且(相当恰当地)它的阅读难度比特别安全的密码序列还要大。
然而,在这些极其枯燥的措辞中,有一条规则禁止要求用户定期更改密码。
NIST是美国联邦机构,为政府机构、标准组织和私营公司制定数字标准,因此当它发声时,很多人都会听从。因此,我们最终可以看到各种服务的密码有效期更长,让我们有足够的精神空间来记住重要的事情,比如体育比分,以及过去冤枉我们的人的名字。
本质上,这里的推理似乎是这样的:如果用户被迫频繁更改复杂的密码,他们就会倾向于创建越来越简单的版本,以便于记住。
鉴于大多数人都不使用密码管理器,最初的“Fl00fyl1ttlekittens#84753j4X))-B”逐渐变成“Floofylittlekittens8”,因为它更容易记住——最终变成“123456”。
如果你正在寻找密码管理器,我有几个我们团队经常使用的推荐。Bitwarden和Proton Pass 。两者都是开源的,易于使用,并且来自知名组织。Bitwarden的原始功能最好,尽管它不是最漂亮的,而如果你已经有一个 Proton Mail 帐户,Proton Pass 就很棒。
取消要求添加特殊字符的规则背后也有类似的想法。强迫用户想出一个难以记住的序列本质上会鼓励他们随着时间的推移变得懒惰,从而使密码整体上逐渐变得更容易破解。
当然,现在标准的 8 个字符长度最低要求仍然存在,同时还有建议称,在许多情况下,15 个字符的长度“应该”是最低要求。这似乎有点过分,但是,外面的网络世界很危险。
那么,我们会很快看到这些新的密码规则实施吗?除非你是美国政府工作人员,否则我怀疑这不会是一个快速的转变。大型私人组织通常需要一些时间来改变,尤其是在安全基础设施方面。此外,在这种情况下,还有一种文化因素,即推翻长期以来认为频繁更改密码会让我们所有人都更安全的信念。
创新的身份验证方法也许是未来的方向
追求安全行业创新的国家应该专注于用其他身份验证方法取代密码,而不是通过新类型的禁令。
想象一下,未来密码将消失,或者至少被更安全、更方便用户使用的方法所取代。强化密码只是权宜之计。我们可以也应该完全放弃密码。
除了密码之外,已经有许多创新,从基于时间的密码到密钥,再到可信的端到端加密通道。 其他不使用密码的安全身份验证方法包括 FIDO2/U2F、基于 PKI 的身份验证和设备上的生物识别技术。这些技术可以确认用户的存在,在各个方面都完全胜过所有类型的密码。
密码的替代方案表明,可以在不牺牲安全性和用户体验的情况下实现平衡。如果在特定情况下无法替换密码,立法可以发挥作用,但激励 2FA 是更好的途径。让另一个因素参与进来是明智且好主意。
原文始发于微信公众号(独眼情报):美国政府认为,强制用户定期更改密码的做法应该成为过去式
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论