在出版被认为是密码创建圣经的十四年后,该文件的作者在接受采访时修改了他的立场华尔街日报。
2003 年,比尔·伯尔 (Bill Burr) 在一份由美国国家标准技术研究院(特别负责制定技术标准的美国机构)创建包含大写字母、小写字母、数字和标点符号的密码并定期(每 90 天)更改一次。
组合太复杂难以记住
但这个建议毕竟不那么明智。原因很简单:这样的密码不仅用户记住起来很复杂……而且很容易被潜在的黑客破解。事实上,无数的互联网用户选择一个简单的单词,他们会稍微修改和/或用特殊字符完成,以使其成为自己的单词。
例子 ?例如,穿山甲爱好者可以选择使用密码“$Pang0l1N$!”来保护他们的帐户。然而,尽管其表面上很复杂,但这个字符序列仍然很容易被字典和暴力相结合的混合攻击所破坏(见下图)。
“我对自己写下的很多东西感到后悔”现已退休的比尔·伯尔 (Bill Burr) 向美国报纸宣称。他还承认,他的建议并非基于经验数据,而且他面临着压力,因为他必须快速完成论文。“ 最终,他总结道,它只会让人们发疯并让他们选择错误的密码。 »
更好的主意:长句子
去年 6 月,NIST 安全专家 Paul Grassi 彻底重写了这份文件,他缓和了这位退休人员的指责。“他仍然写了一份持续了10到15年的文件。我希望我也能这样做。 »
现在,NIST 建议使用易于记忆的长句子,如漫画所示难以形容的兰德尔·门罗以下。根据他的计算,以每秒 1000 次尝试的速度,只需要三天就能找到密码 Tr0ub4dor&3,相比之下,短语“ Correcthorsebatteryestable”需要 550 年!
我们的穿山甲爱好者使用“vivelespangolinsbretonsenliberte”或“pangolinartichautrugbytablette”等密钥,而不是无法记住他的密码,会更安全。此外,单词序列更容易记住。
NIST 指南的另一项变化是:仅在有迹象表明密码可能已损坏时才更改密码,并且不再每 90 天更改一次。
这些有用的说明现在可以附带其他工具来保护您的帐户。许多应用程序和服务已经提供双重身份验证(Facebook,苹果,谷歌……)就是其中之一。你知道你必须做什么!
