你之前遵守的密码规则都错了 长短语才是硬道理

2017-10-09 09:11:55|来源:经济日报|编辑:谢伟 |责编:韩俣

  如果你经常上网,并比较关心密码安全的话,你肯定看见过不少如何设置密码的建议。这些建议大多来自2003年时任美国国家标准与技术研究院中层主管的比尔·伯尔(Bill Burr)撰写了《NIST特别出版物800-63,附录A》。在这份指南中,作者建议使用奇怪的字符、大小写字母和数字运用拼凑密码,而且最好定期更换。 

  经济日报-中国经济网科技频道近期注意到,撰写该指南的作者近期表示,之前的关于设置密码的建议并不正确。今年6月该机构发布了重新修订的关于设置密码的建议,该团队本来以为仅仅需要将原来的建议做简单修改即可,但随着研究的进行,发现之前的建议几乎全都是不正确的。 

  之前的建议中曾建议用户每90天更换一次密码,但在实际当中,很多人要不忽略这一条,要不每次更改做出的改变都十分微小,如果有人知道之前的密码,更改过的密码也很容易被猜到。比如把“Mima!01”改为“Mima!02”,破译这种更改非常容易。新版本当中已经去掉了这条建议。此外关于使用混合字符的建议也被取消了。 

  根据最新的研究,字符长度和安全度相关性较高,也就是说越长的密码越安全。外国曾有一则颇受欢迎的漫画,里面提到,如果想要破解“correct horse battery staple”(正确的马电池订书钉)需要花费550年;而破解典型的安全密码“Tr0ub4dor&3”只需要3天。很多电脑安全专家证实过这个说法。 

  现在的建议还去掉了关于定期更换密码的建议,新的建议是,除非你觉得你的密码已经不安全了,否则你不需要更换密码。 

  之前的密码建议之所以“不靠谱”也是有历史原因的,伯尔表示在撰写那份指南时,还是2003年,当时可以参考的数据实在太少了。伯尔曾经向同事们索要密码以研究,但是被同事们以隐私为由拒绝了。最终,伯尔只能在没有实际密码数据作参考的情况下撰写那份密码设置指南。 

  伯尔密码规则最大的问题在于效果不好,虽然它有十分复杂的规则,但是实际使用中却不能保证密码的安全性,反而因为复杂的规则,给使用者带来了不必要的麻烦。在网路安全越来越重要的今天,研究密码的专家们有了更多的数据帮助他们判断该如何制定密码。 

  卡内基梅隆大学的一位教授多年以来致力于研究差劲的密码,2015年,她用500个常见的密码制作了一条蓝紫色连衣裙,并穿着它参加了斯坦福大学举办的白宫网络安全峰会。裙子上有着世界上最常见的密码“123456789”、“nicole”、“iloveyou”等。 

  经济日报-中国经济网科技频道发现,常用密码是这世界上最不安全的密码了,如果你的密码属于500个常用密码之一,哪怕它完全符合伯尔规则,任何一个黑客也仅需要500就能试出你的密码。 

  新版密码指南的负责人听到伯尔的自责后表示,他对自己制作的2003版指南苛责太多,“他写了一份能使用10至15年的安全文件,我希望我也能做到这一点。”(王蔚)

分享到:

国际在线版权与信息产品内容销售的声明:

1、“国际在线”由中国国际广播电台主办。经中国国际广播电台授权,国广国际在线网络(北京)有限公司独家负责“国际在线”网站的市场经营。

2、凡本网注明“来源:国际在线”的所有信息内容,未经书面授权,任何单位及个人不得转载、摘编、复制或利用其他方式使用。

3、“国际在线”自有版权信息(包括但不限于“国际在线专稿”、“国际在线消息”、“国际在线XX消息”“国际在线报道”“国际在线XX报道”等信息内容,但明确标注为第三方版权的内容除外)均由国广国际在线网络(北京)有限公司统一管理和销售。

已取得国广国际在线网络(北京)有限公司使用授权的被授权人,应严格在授权范围内使用,不得超范围使用,使用时应注明“来源:国际在线”。违反上述声明者,本网将追究其相关法律责任。

任何未与国广国际在线网络(北京)有限公司签订相关协议或未取得授权书的公司、媒体、网站和个人均无权销售、使用“国际在线”网站的自有版权信息产品。否则,国广国际在线网络(北京)有限公司将采取法律手段维护合法权益,因此产生的损失及为此所花费的全部费用(包括但不限于律师费、诉讼费、差旅费、公证费等)全部由侵权方承担。

4、凡本网注明“来源:XXX(非国际在线)”的作品,均转载自其它媒体,转载目的在于传递更多信息,丰富网络文化,此类稿件并不代表本网赞同其观点和对其真实性负责。

5、如因作品内容、版权和其他问题需要与本网联系的,请在该事由发生之日起30日内进行。