(照片:Rawpixel)
上周,我写了这样一句话:“使用密码管理器的另一个原因是,它们可以很容易地将密码更改为更强大的密码你应该经常做因为这是每个人对密码的建议,还有制定密码强大的你创建的每个服务和账户都是独一无二的。
谢天谢地,我们的常驻安全专家,尼尔。j . Rubenking在文章发表前,请先阅读。他指出,“应该经常做”这部分现在已经过时了。
这对我来说是新闻,但他说得对。2017年(是的,是四年前),美国国家标准与技术研究所(在一个新窗口中打开)(NIST)发布数字身份的指导方针(在一个新窗口中打开)它用大量的科学术语来讨论信息安全标准和“记忆秘密身份验证器”——它的术语是密码、密码短语和个人识别号码(pin)。
它的结论是:“不要要求(密码)随意更改(例如,定期更改),除非有用户请求或验证者妥协的证据。”
美国商务部下属的非监管机构NIST发布的这份报告还包括一个关于“记忆秘密的强度”的附录,其中讨论了如果人们被迫遵守“组合规则”,比如密码中包含符号、大写字母、数字等,那么他们几乎不可能记住密码。
NIST表示:“尽管对可用性和记忆性的影响非常严重,但这些规则的好处远没有最初想象的那么显著。”
记住的秘密的长度实际上比复杂程度更重要,然而许多服务拒绝超长的密码短语,这是一个问题。(NIST表示,人们最多可以使用64个字符。)
最后,对于任何处理密码安全问题的人来说,最好的建议是使用密码管理器软件,所以你不需要记住太多东西,除了一个主密码/短语。在安全方面,没有什么比记忆更重要的了,但是在上网几年之后,你可能会在你的大脑中储存数百个密码。那就是疯狂。
你多久换一次密码?
让我们回到频率上来。每隔几个月到一年换一次密码的标准建议在大多数相关文章中根深蒂固。在谷歌上搜索“我应该多久修改一次密码”,第一个结果是“每60 - 90天”。大多数网站和文章都是这么说的,只有少数例外。
的我写的关于密码的故事促使这一切发生的是PCMag的一项调查,我们在调查中特别问了一个问题:“你多久更换一次密码?”有整整74%的受访者声称他们至少每六个月更换一次密码,我准备拿这一事实开玩笑。只有26%的人说他们不定期更换。
我们的编辑推荐
我相信后者,但一直在改变“记忆的秘密”?我不信。我愤世嫉俗,控制着自己的言行,认为那些人认为他们应该经常修改密码,而不愿意向我们(或他们自己)承认他们不这么做。也许是因为他们的工作场所或某些服务迫使他们频繁更换。
所以我在这里要说:别再感到内疚了!四年前,专家告诉我们不要再定期修改密码,现在是我们听从他们的时候了。只要你的密码已经足够强大和唯一,多次更改对你没有多大帮助。(除非是数据泄露当然,那就马上改。)
这并不能阻止某些实体强迫你修改密码。每隔几个月,你的老板或银行就会显示可怕的“请输入新密码继续”的提示信息,要说服他们可能需要一些时间。他们可能也不会让你重复使用密码,即使这是你创建的最强大的密码。它们可能还会继续限制大小并要求特殊字符。对不起。
但如果你在某个服务或账户上有一个非常好的密码,你可能可以终生使用它。只要确保它是长,强,和独特的服务。
如何发现你的密码是否被盗
