博客标题

忽略所有有关强密码的知识

不久以前,我唯一需要记住的密码是我在工作时登录Windows NT桌面(大米色框),手机的密码(大银砖)以及健身房的组合密码储物柜。好吧,也许最后一个我没有经常使用。

我现在渴望那些宁静的日子回来。

快进20年左右,似乎我们在任何一天都不会超过几分钟,而无需在某个系统或其他系统上打入密码或密码,无论是在我们的笔记本电脑,网站,智能手机,商务系统上工作等等,考虑到我们需要记住的庞大数量,尝试记住哪个密码与哪个服务一起使用的负担至少可以说是一个沉重的负担。

每天使用的许多系统都要求我们使用所谓的复杂密码,这一事实无济于事。我希望能够使用 我喜欢猫 作为我的亚马逊密码,但不能,我被迫使用类似 C4tsR00L! 代替*。更难记住但更安全,因此更好地阻止坏人闯入并从我的亚马逊账户购买东西,对吧?错误。

NIST(国家标准技术研究院) 在美国和 NCSC(国家网络安全中心) 英国的最近发布了支持研究的声明,该声明表明,复杂的密码不但没有提供良好的安全性,反而比我们曾经认为的安全性低得多。为什么?原因有几个,以下是几个原因:

  1. 复杂的密码很难记住,这意味着我们更有可能将其写下来以避免忘记它们。写在纸屑上的密码然后在您购物时掉进钱包/钱包里比没有用的还要糟,尤其是如果您还用那张纸写了密码所针对的服务。
  2. 不管密码的复杂程度如何,短密码都可以比您想象的更快地被计算机破解,如下所示。
  3. 由于要记住这么多复杂的密码,我们可能会尝试通过对多个系统使用相同的密码来使事情变得更容易,这意味着丢失一个密码可能意味着多个系统受到了威胁。

伴随这些复杂性要求的许多规则,例如强制和定期更改密码的要求会导致类似的问题,并且只会再次增加我们需要记住的密码数量,最终会降低而不是提高安全性。

那NIST怎么办&NCSC建议我们这样做吗?该解决方案可能不太直观,但得到数字的支持,应该成为我们共同的音乐。让我们看一个例子。

如果我们从上面拿走我的密码,就很容易想象一个人可能会忘记 C4tsR00L! 作为密码。我是否在开头放置了大写的C?我选择的是4而不是A?最后是问号或感叹号?记不清了,我会写下来,没事的。。。现在,除了丢掉那片纸的风险之外,一台标准的PC可能会在4周内破解该密码。这不是特别快,但是仍然足够快成为一个问题。

现在,如果我选择的密码不是很长的复杂密码,而是很长的密码,但是可能是我容易记住的一本书中的短语,引号或行,那该怎么办?假设我是西格蒙德·弗洛伊德(Sigmund Freud)迷(显然确实存在),然后选择他的语录“与猫共度时光从未浪费”作为我的密码。当然,更容易记住,所以我不需要写下来记住它。哦,那是标准PC 需要4亿亿年才能破解它 (即7,200,000,000,000,000,000,000,000,000,000,000倍的宇宙年龄)。我以前的选择略有改善。

如果需要更多证据,Bill Burr(2003年提出了这些现在已失信的密码策略的负责人)已公开道歉并 承认他“吠错了树”。这是一个问题,因为我们每天使用的大多数服务仍在追赶,并像许多业务系统一样使用这些现在已经提出的建议。实际上,我最近遇到了一位客户,该客户只有在能够证明自己的密码政策能够满足Bill最初的密码建议的情况下才可以投标某项业务。这使有问题的IT部门感到非常沮丧,因为IT部门不得不保留它所知不够完美的密码策略。

但是,这并不仅仅涉及密码复杂性。有许多其他服务和技术可以提高我们每天访问的系统的安全性,而在某些情况下,则减少了我们记住PIN和密码的麻烦,例如:

  • 生物识别身份验证,例如Apple的Face ID或Microsoft的Windows Hello
  • 密码管理员 它将在安全的应用程序中存储您所有服务的所有密码,并由一个非常好的密码保护
  • 委派访问权限,例如使用您的Google用户名和密码登录您的Strava帐户。两项服务,一项密码。赢得
  • SSO(单一登录),您的雇主可以配置该SSO,以允许您使用单个用户名和密码访问许多与业务相关的服务
  • 多因素身份验证(MFA)–本质上是用两个密码代替一个密码,第二个密码定期更改,通常每60秒更改一次。 MFA可在eBay和PayPal等许多主要的在线服务上使用,我们强烈建议启用MFA。 TSG还强烈建议在可能和可行的情况下在关键业务系统上启用MFA

但最终,向易于记忆且难以忘记的简单且可证明的安全密码的迈出了迈向承诺的零记账密码,零事件的坏人闯入您的Amazon帐户的重大一步。 为您零头痛.

*我的Amazon密码与猫无关。我更像一个狗人。