密码安全"圣经"作者认错:密码复杂难记反而不安全
2017-08-10 10:53:26 来源:参考消息网
核心提示:这些密码并没有提高计算机系统的安全性,反而让它们变得更不安全了,因为用户最后要么重复使用同一个密码,要么把密码写下来贴在屏幕旁边。
外媒称,在很多办公室职员的日常工作中,令他们头疼的一件事是:他们不得不使用由随机的数字和字母组成的、复杂又难记的密码。 据英国《每日电讯报》网站8月8日报道,但14年前第一个提出密码安全法则的人现在承认,他的建议是完全错误的。 2003年,比尔·伯尔在为美国政府工作期间,写下了关于密码安全的“圣经”。他建议在密码中使用大写字母、数字和符号,认为这样一来,它们就很难被猜出来。 正是由于听从了他的建议,公司和网站开始要求人们设置非常复杂的密码,如“P@55w0rd”、“Football123”等等,而IT部门也会要求员工每90天重置一次密码。 然而,这些密码并没有提高计算机系统的安全性,反而让它们变得更不安全了,因为用户最后要么重复使用同一个密码,要么把密码写下来贴在屏幕旁边。 引入数字和符号也没有增强密码抵御黑客“暴力破解”的能力。“暴力破解”是指计算机不断尝试每一个可能的组合以猜出密码。 如今已经退休的伯尔对美国《华尔街日报》说:“我现在对自己此前的大部分工作感到后悔。结果可能是,很多普通人觉得太复杂了,难以理解,而事实上我完全搞错了。” 他说,定期更换密码的建议被误解了,因为大多数人只会换掉其中一个字符,比如把“username1”换成“username2”,这根本防不了黑客。 2015年,英国政府通信总部建议公司不要再重置密码,称此举带来的不便,远大于有限的安全效果。 伯尔撰写的美国国家科学和技术研究所密码指南最近经过了修改,旧的法则被抛弃。 新指南建议人们使用长但容易记住的“密词”,即使用一连串单词,不必强调特殊字母或数字。“僵尸网络”发动的黑客攻击,需要1万亿年才能破解“horsecarrotsaddlestable”(“马胡萝卜马鞍稳定”)这样的密码,而破解“P@55w0rd”只需要1分钟。
|