摘要:但這種密碼設(shè)置要求來源于美國(guó)國(guó)家標(biāo)準(zhǔn)和技術(shù)協(xié)會(huì)��。當(dāng)年主管撰寫了一份名為的文檔�����,建議大家設(shè)置密碼時(shí)混合大寫字母字符和數(shù)字����,并定期修改��。所以也不再建議大家密碼要求混合大寫字母字符和數(shù)字�����。
作為一名認(rèn)真負(fù)責(zé)的小編��,每次注冊(cè)賬號(hào)設(shè)置密碼的時(shí)候都是最痛苦的���,太簡(jiǎn)單的怕被破解�,太難的又記不住�。
等你好不容易記住密碼,三個(gè)月后IT同學(xué)過來拍拍你的肩膀��,“你的密碼到期了����,記得改啊……”
目前絕大部分網(wǎng)站對(duì)于注冊(cè)賬號(hào)的密碼強(qiáng)度分為3個(gè)等級(jí):弱密碼�、中密碼��、強(qiáng)密碼�。網(wǎng)站會(huì)引導(dǎo)用戶填寫密碼的時(shí)候混合大寫字母、字符和數(shù)字的強(qiáng)密碼���。
但這種密碼設(shè)置要求來源于美國(guó)國(guó)家標(biāo)準(zhǔn)和技術(shù)協(xié)會(huì)(NIST)����。當(dāng)年NIST主管Bill Burr撰寫了一份名為NIST Special Publication 800-63的文檔�����,建議大家設(shè)置密碼時(shí)混合大寫字母�、字符和數(shù)字,并定期修改�����。這么成(keng)熟(die)的建議后來被各大媒體廣為傳播���,一時(shí)傳為美談����。
緊接著國(guó)內(nèi)外網(wǎng)站紛紛響應(yīng),吃瓜群眾創(chuàng)造了各種各樣的花式密碼�。
單詞間隔法:Pa55word!1
古詩(shī)轉(zhuǎn)化法:Heartulx1.tong(心有靈犀一點(diǎn)通)
化學(xué)方程式:CH4+2O2=CO2+2H2O
鍵盤順序法:1qaz@WSX
……
但在今年6月,原作者后悔了……美國(guó)國(guó)家標(biāo)準(zhǔn)和技術(shù)協(xié)會(huì)(NIST)提供的最新數(shù)字身份指南的新版草案中��,不再推薦用戶使用這一標(biāo)準(zhǔn)��,因?yàn)檠芯匡@示此類標(biāo)準(zhǔn)����,并沒有什么卵用……
比如形似“Tr0ub4dor&3”這樣的密碼只需要用標(biāo)準(zhǔn)的破解技術(shù)在三天之內(nèi)就能夠破解��,而且你很容易在被破解之前就忘掉自己的密碼����。而一句完全采用英文單詞組成的摸不著頭腦的短語(yǔ) “correct horse battery staple”卻需要約550年來破解。(如來佛祖的五指山都?jí)翰蛔±玻?/p>
而這組詞語(yǔ)很容易形成獨(dú)特的畫面���,對(duì)于人類來說非常容易形成記憶���,但對(duì)計(jì)算機(jī)來說堪比天書,使得它很難被破解�����。
圖片來自網(wǎng)絡(luò)
另外研究顯示,頻繁的更改密碼沒有預(yù)想的效果��,達(dá)不到保護(hù)密碼安全的目的�����。因?yàn)榇蠖鄶?shù)人應(yīng)對(duì) 90 天更改密碼要求采取的做法是將現(xiàn)有密碼略微修改一下���,比如 Pa55word!1 改為 Pa55word!2���,完全起不到保護(hù)作用,很容易被猜出�。
NIST數(shù)字身份指南的新版草案作者 Paul Grassi指出,此前的密碼安全建議都是在摸索中前進(jìn)�,沒有前人的嘗試也無(wú)法摸索出切實(shí)有效的密碼建議。所以也不再建議大家密碼要求混合大寫字母��、字符和數(shù)字�����。他認(rèn)為最重要的是儲(chǔ)存的密碼必須鹽化哈希 MAC 處理�����。
密碼的復(fù)雜性對(duì)于個(gè)人用戶來說很重要,但對(duì)于提供登錄場(chǎng)景的互聯(lián)網(wǎng)企業(yè)來說��,風(fēng)險(xiǎn)防控更加重要���,它是保護(hù)用戶賬號(hào)安全的最后一道防火墻��。
即便在用戶無(wú)意間泄露密碼�����,或密碼設(shè)置過于簡(jiǎn)單的情況下,企業(yè)能基于用戶行為����、軟硬件環(huán)境信息、業(yè)務(wù)基礎(chǔ)信息綜合判定用戶登錄請(qǐng)求的風(fēng)險(xiǎn)程度����,避免機(jī)器人撞庫(kù)或者非本人登錄。阿里聚安全提供的數(shù)據(jù)風(fēng)控功能�,能有效對(duì)登錄場(chǎng)景進(jìn)行防控,防止刷庫(kù)撞庫(kù)�、暴力破解����、可疑登錄等���。并提供滑動(dòng)驗(yàn)證碼服務(wù)����,通過生物特征判定操作計(jì)算機(jī)的是人還是機(jī)器����,從而取代傳統(tǒng)驗(yàn)證方式。
阿里聚安全 - 數(shù)據(jù)風(fēng)控
阿里聚安全的數(shù)據(jù)風(fēng)控功能��,目前免費(fèi)試用��,歡迎來體驗(yàn)測(cè)試��!
免費(fèi)體驗(yàn)地址:http://jaq.alibaba.com/riskco...
更多安全熱點(diǎn)資訊和知識(shí)分享��,請(qǐng)關(guān)注阿里聚安全的官方博客
文章版權(quán)歸作者所有�,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除�����。
轉(zhuǎn)載請(qǐng)注明本文地址:http://systransis.cn/yun/11265.html
