設(shè)置密碼是確保人們安全關(guān)閉和調(diào)出應(yīng)用程序的一種方式，為數(shù)據(jù)和信息提供保障。但現(xiàn)實(shí)是密碼仍然十分重要。電子郵件或社交媒體，網(wǎng)上銀行或網(wǎng)絡(luò)游戲，應(yīng)用程序或網(wǎng)絡(luò)服務(wù)，這些應(yīng)用所保持的某種用戶(hù)數(shù)據(jù)仍然依賴(lài)于密碼進(jìn)行保護(hù)。如果用戶(hù)沒(méi)有更好地進(jìn)行加密，那么攻擊者將會(huì)快速竊取銀行帳戶(hù)并接管網(wǎng)絡(luò)服務(wù)。

[[208925]]

人們都知道一些基本常識(shí)，例如不能使用“password”這樣簡(jiǎn)單的詞匯作為密碼。如果可能的話(huà)，最好在網(wǎng)上帳戶(hù)上啟用雙因素身份驗(yàn)證，通過(guò)短信發(fā)送密碼要比不采取任何措施要好得多，并使用密碼管理器來(lái)跟蹤所有的密碼。不幸的是，很多關(guān)于密碼的建議聽(tīng)起來(lái)很合理，但需要一定的場(chǎng)景才能有所實(shí)現(xiàn)。以下是一些人們常有的密碼誤區(qū)，需要進(jìn)行澄清。

密碼誤區(qū)1：密碼需要大小寫(xiě)，數(shù)字和特殊字符的混合

真相：復(fù)雜密碼可以提供更多的安全限制。是的，“letmein”是一個(gè)糟糕的密碼，但是“Password1”，“Abc123”和“Passw0rd”并不會(huì)更好，盡管這是字母和數(shù)字混合的案例。

根據(jù)字典詞匯來(lái)創(chuàng)建密碼是一個(gè)糟糕的想法。將一些字母替換為數(shù)字或符號(hào)也不是一個(gè)聰明或獨(dú)特的想法。密碼破解者知道在其查找表中包含“vuln3rabl3”或“trustno1”等字樣。事實(shí)上，后者這樣的密碼在2014年已在美國(guó)調(diào)研機(jī)構(gòu)SplashData公司選出的前25名最常用的密碼列表之中。

為了公平起見(jiàn)，使用字母的大小寫(xiě)，數(shù)字和特殊字符的混合作為密碼要比使用小寫(xiě)字母更強(qiáng)大。雖然精確數(shù)字將隨著處理能力而變化，但現(xiàn)代計(jì)算機(jī)只需要兩天的時(shí)間就可以破解全部為小寫(xiě)字母的8個(gè)字符密碼(因?yàn)橛?6的8次方或208,827,064,576種可能的組合)，而如果采用一個(gè)大型僵尸網(wǎng)絡(luò)破解只需1.8秒。而采用特殊的符號(hào)或顛倒的組合等混合的方法有助于減緩破解，

如果字符串并不是隨機(jī)的，采用字母大小寫(xiě)，數(shù)字和特殊字符的所有混合都不會(huì)有任何好處。考慮到2015年和2016年，SplashData公司的前25名的名單中出現(xiàn)了“1qaz2wsx”和“1q2w3e4r”這樣的密碼。用戶(hù)試圖遵循這些規(guī)則，但使用順序的關(guān)鍵變化或常見(jiàn)的模式會(huì)破壞這個(gè)規(guī)則應(yīng)該完成的好處。密碼破解者知道順序鍵模式，也可以查看鍵盤(pán)以查找潛在的模式。

但是使用順序鍵變化或普通模式破壞了這個(gè)規(guī)則應(yīng)該完成的好處。密碼破解者知道順序鍵模式，也可以查看鍵盤(pán)來(lái)尋找潛在的模式。

密碼誤區(qū)2：良好的密碼必須非常長(zhǎng)

真相：設(shè)置的密碼當(dāng)然越長(zhǎng)越好，但8到12個(gè)字符就足夠了。設(shè)置更長(zhǎng)的密碼這并沒(méi)有錯(cuò)，因?yàn)槠平忾L(zhǎng)度較短的密碼比長(zhǎng)度較長(zhǎng)的密碼的時(shí)間要少得多。攻擊者嘗試破解只有6個(gè)字符的密碼要比一個(gè)8個(gè)字符甚至10個(gè)字符的密碼更容易一些。對(duì)于現(xiàn)代計(jì)算機(jī)來(lái)說(shuō)，使用字母大小寫(xiě)和數(shù)字混合的8個(gè)字符的密碼將需要5.88年的時(shí)間來(lái)破解，但是采用僵尸網(wǎng)絡(luò)只需要31分鐘。而將密碼增加到10個(gè)字符，僵尸網(wǎng)絡(luò)進(jìn)行破解需要83天。例如"%ZBGbv]8g?"這個(gè) 10個(gè)字符的密碼在電腦上破解可能需要289217年，而采用僵尸網(wǎng)絡(luò)可能需要3年時(shí)間。

人們甚至不需要使用符號(hào)和數(shù)字，一個(gè)40個(gè)字符長(zhǎng)的混合密碼將需要一千多年的時(shí)間才能破解。顯然，密碼較長(zhǎng)是一種安全方式(在存儲(chǔ)密碼之前使用哈希技術(shù)也很重要，但這并不重要。)

讓人們來(lái)考慮一下威脅模型。在這里解決的最大的問(wèn)題是什么?如果最大的擔(dān)憂(yōu)是有人會(huì)進(jìn)入數(shù)據(jù)庫(kù)并竊取密碼哈希，那么設(shè)置非常長(zhǎng)而復(fù)雜的密碼絕對(duì)是必要的事情。但企業(yè)最關(guān)心的是密碼重用和網(wǎng)絡(luò)釣魚(yú)，在這種情況下密碼的長(zhǎng)度并不重要。如果攻擊者已經(jīng)通過(guò)網(wǎng)絡(luò)釣魚(yú)活動(dòng)獲取了實(shí)際的密碼，那么密碼是8個(gè)，20個(gè)或者50個(gè)字符都無(wú)關(guān)緊要。攻擊者只需復(fù)制并粘貼就可以。如果用戶(hù)被要求輸入20個(gè)字符的密碼，并且沒(méi)有密碼管理器，那么密碼將被重用。這是給定的。

需要保護(hù)的是什么?這也很重要。對(duì)于可能被認(rèn)為是低風(fēng)險(xiǎn)的東西，也許當(dāng)?shù)氐墓矆D書(shū)館，采用8個(gè)字符的密碼就足夠了。對(duì)于涉及財(cái)務(wù)事項(xiàng)則需要更長(zhǎng)的密碼。安全是一個(gè)權(quán)衡，保護(hù)最有價(jià)值的帳戶(hù)和諾克斯級(jí)保護(hù)。不要重復(fù)使用密碼，提防釣魚(yú)詐騙，對(duì)于許多帳戶(hù)來(lái)說(shuō)，采用8個(gè)字符的密碼就足夠好。這就是為什么美國(guó)國(guó)家標(biāo)準(zhǔn)和技術(shù)協(xié)會(huì)(NIST)的最新指南沒(méi)有任何內(nèi)容要求密碼長(zhǎng)度超過(guò)8個(gè)字符的原因。

還有一個(gè)問(wèn)題：密碼太長(zhǎng)，用戶(hù)更容易使用“忘記密碼”?并使用基于知識(shí)的答案重置密碼。那么他人更容易猜出其寵物或其長(zhǎng)大的城市的名稱(chēng)，這比猜測(cè)其密碼要容易得多。

密碼誤區(qū)3：千萬(wàn)不要隨意寫(xiě)下密碼

真相：更多的是如何去做。而除了使用“password1”作為密碼之外，對(duì)于密碼最不安全的行為是記錄密碼之后，將其放在不安全的場(chǎng)合。然而，這并不是一個(gè)可怕的想法。不要把它寫(xiě)在一個(gè)便條上或記在電腦的文本中。而是在寫(xiě)下較長(zhǎng)而復(fù)雜的密碼，放在自己的錢(qián)包中，同時(shí)還要牢記在腦海中。殺毒軟件商Sophos公司的安全專(zhuān)家Chet Wisniewski說(shuō)，他也會(huì)寫(xiě)下重要的密碼，并把它們存放在一個(gè)保險(xiǎn)箱里。

密碼誤區(qū)4：定期強(qiáng)制更改密碼提高安全性

真相：這只能讓用戶(hù)更從地選擇弱密碼。直到最近，要求常規(guī)密碼更改才是企業(yè)安全政策的主要內(nèi)容。一些組織甚至指定最小密碼的位數(shù)，防止密碼的重復(fù)使用和最小數(shù)量的字符更改，以確保新密碼與前一個(gè)密碼具有“足夠不同”。 強(qiáng)制性的密碼更改是有意義的，當(dāng)人們擔(dān)心密碼可能被泄露或暴露時(shí)，強(qiáng)制密碼重置是一個(gè)好主意。但是，隨著時(shí)間的推移，人們真的定期更改密碼了嗎?

美國(guó)國(guó)家標(biāo)準(zhǔn)和技術(shù)協(xié)會(huì)(NIST)新的建議表明，要讓密碼安全設(shè)置不要過(guò)于復(fù)雜，因?yàn)榫闹贫ǖ囊?guī)則使用戶(hù)更難完成工作，并提高了執(zhí)行和執(zhí)行規(guī)則的管理和支持成本。定期更改密碼聽(tīng)起來(lái)不錯(cuò)，但這會(huì)讓用戶(hù)更難記住最新的密碼。他們通過(guò)重復(fù)使用密碼或創(chuàng)建易于猜測(cè)的模式來(lái)做出響應(yīng)(例如從password1，password12，password123等進(jìn)行切換，就是這樣的一個(gè)模式)。