Bill Burr在2003年為美國政府工作時����,寫下了密碼安全領域的“圣經“:使用大寫字母�、數字和非字母符號�����,原因是���,復雜的密碼難以被猜到���;另外�,Burr也建議經常更換密碼�。
所以,Burr是下列事情的始作俑者:迫使我們想出“!”或者“P@”這樣折磨打字人的密碼;迫使我們記住像“Uj3k@u90”這樣的系統分配密碼����;根據公司IT部門的要求密碼要包含大小寫字母數字符號密碼要包含大小寫字母數字符號�����,90天,更換一次密碼。
現在��,Burr承認���,他的建議是錯的���,這些辦法實際上不能提高密碼的安全性���。
相反����,這些密碼組合會讓電腦系統更容易受到攻擊,因為用戶在創造了一個復雜密碼之后���,會重復使用這些密碼,或者為了防止遺忘,會寫下來貼到電腦旁邊。而且,數字和符號的加入并沒有讓電腦更加免疫于黑客嘗試所有組合可能性的“強力(brute force)”攻擊。
定期更換密碼的建議也是錯誤的。因為密碼復雜�����,所以用戶只會更換其中一個字母或數字���,例如把“!”改成“���?”���。這種更改對阻止黑客來說毫無意義����。而且����,定期更改密碼引起的不便比有限的密碼安全更糟糕。
現在�,美國國家科學技術研究所的線上密碼指南已經更新�����,并提醒用戶避免傳統誤區:
l 不要重復使用密碼
l 結合大小寫字母設置的密碼沒有你想象的安全,沒有太大意義
l 更好的選擇是那些長但是易記的密碼�����,或者密碼短:“(營練訓鬼魔)”比“!”這個密碼難破解的多��。
l 另外�,更安全的辦法是���,使用雙重驗證����,在登錄的時候最好得到短信的確認����。
數億人在過去10多年間遵循了這個看似有道理的密碼原則,但是卻沒有考慮到行為因素的疊加�����。我從沒意識到密碼安全包括了密碼本身的安全,還有我們對待密碼的態度和使用方式���。對于產品經理來說,這個經驗很重要:如果產品不夠簡單���,那么用戶可能根本不會按照預想的方式使用這個產品。
只是����,對于普通用戶來說�����,我會想生活中還有多少我們完全不懂為什么但是還依然遵照的原則。
集千家精華 成一家風骨
郵發代號:27-64
報
年訂價/75元 半年/37.5元 季價/18.75元
