我对密码过期的所有想法都是正确的(专家最终同意)
快速链接
- 频繁更改密码导致安全性差
- 选择一个强而独特的密码(或使用密码管理器)
最持久的密码安全知识之一是频繁更改密码可以提高安全性。至少,这是世界各地的 IT 团队几十年来一直向人们提倡的。
然而,这一建议总是遇到阻力,许多安全人士认为,在保持好记性的同时勾选方框会导致糟糕的密码实践。
现在,研究支持了这一理论,表明频繁更改密码会导致安全问题。
频繁更改密码导致安全性差
你们中的许多人都经历过:可怕的强制密码每四、六或八周就会更改一次。在 IT 团队的推动下,更改密码会使任何安全漏洞变得毫无意义,因为每个人都使用新密码。
事实上,这在创建密码时会带来捷径。大多数人不会创建难以猜测的强而独特的密码,而是选择易于记住且迭代次数较少的密码。
例如,具有 16 个字符的强密码可能为“hS'9{yX?Fzu#=_:R”,其中包含大小写字母、数字和符号的混合。很难记住,但随着时间的推移,你就会明白。
然而,如果您必须每月更改密码,您将没有时间记住这一点。因此,人们开始使用更容易记住的短语和小迭代。
- 第 1 个月:困难密码 1
- 第 2 个月:d1fficultpassword2
- 第 3 个月:d1ff1cultp4ssword3
等等。
选择一个强而独特的密码(或使用密码管理器)
英国国家网络安全中心自 2015 年以来一直建议不要强制使用常规密码,现在,2024 年,国家标准研究院 [PDF] 也将效仿。
其新建议建议密码每 365 天过期一次,极大地改变了时间范围,并提高了安全性。
与此同时,NIST 还更新了有关密码长度和强度的信息。在某些情况下,密码创建规则将用户限制为 12 个字符,或者不能使用某些符号。现在,NIST 建议所有密码应为:
- 至少 15 个字符
- 最多 64 个字符
- 包括所有 ASCII 字符、空格字符和 Unicode 字符
这些变化意味着更多的密码输入字段将允许更强、更容易记住的密码短语(达到极限),同时整体密码强度也得到提升。
当然,任何关心密码安全的组织都应该允许使用密码管理器。使用密码管理器还需要考虑其他安全注意事项,例如本地存储数据、零知识加密等,但这是使用强密码保护所有帐户的最佳方法。