原美国国家标准局NBS,现美国国家标准与技术研究院NIST的前主管Bill Burr曾在2003年领导制定了密码使用标准《电子验证指导原则》,要求密码必须含有大小写字母、特殊符号、数字等,建议定期更换密码。由于多数网站采用了这些原则,如何记住密码成了绝大多数人的噩梦,非常“烧脑”,“密码疲劳”问题严重。于是很多人将密码写在便利贴贴在屏幕上,或写在一个小本儿上,甚至干脆用“password”这样的弱密码。据统计,“123456”是近1%的人使用的密码,常年高居常用密码榜首。已泄露、破解的密码库中,“police”、“police1”受到不少英国警察的青睐。
Bill Burr现在后悔了,觉得这些规则对大部份用户来说太复杂,结果对强化安全性并没有帮助。于是NIST颁布了一批新指导原则,由Paul Grassi担任技术顾问撰写,特别修正密码规则,建议用户使用一些能记住的文字组成字符串,形成“口令短语”(passphrase),像是“AliceLoveBob”。他们认为“口令短语”更长,计算机得花数百万年才能破解。
我认为仅仅“长”没有用,如果人能够记住,多半是有限模式,同样可以加入模式库,并不难破解(参见为什么能记住的密码都是弱密码)。假设用“落霞与孤鹜齐飞,秋水共长天一色”的拼音首字母 “lxygwqfqsgctys” 连起来做密码,看起来随机没规律,其实这些诗句的总量并不大,计算机很容易遍历这些模式,而且用户输入时一样烧脑,一样易被读心术等新技术获取,一样易被肩窥。我认为Bill Burr原来的建议并没有错,只是现在账号、密码太多,所以才有了“密码疲劳”问题。解决办法不是换规则,而是采用技术手段。我的建议还是使用随机强密码,借助“登录易”等辅助工具,完全不用自己记!
教你一招——习惯使用登录易®,复杂密码不用记。
登录易®(DengLu1®) 是一款安全的密码管理器,用户再不需要费心思设置就能拥有不同的复杂强密码,并且不需要记忆及输入这些密码就能在各种终端自动登录上网,既方便又安全。
下载试用请关注公众号:denglu-1. 长按下面二维码可直接识别。