密码安全:NIST表示您不应该定期更改密码

时间:2020-01-13  author:佟你  来源:欧洲杯官网  浏览:167次  评论:175条

美国国家标准与技术研究院(NIST)不再建议人们定期更改其密码,作为该组织一部分。

草案订单,特别出版物800-63-3,对曾经被认为是密码或“记忆秘密”的最佳安全做法进行了一些修改,正如NIST提到的那样 - 包括不再鼓励网站和服务要求用户随意更改密码。

阅读:

根据NIST最新指南的身份验证和生命周期部分,它建议网站和服务“不要求任意记录(例如,定期)更改记忆的秘密,除非有用户请求或验证者妥协的证据。”

这种变化与曾经被认为是必要的安全选择相反,特别是对于那些持有金融机构和医院等敏感信息的网站。

近年来,越来越多的安全专家认为,除非有明确的理由,否则不应要求人们更改密码,这主要是因为人们只是在他们知道时不会努力创建安全密码他们将在几个月内改变它。

一项发现,当人们需要定期更改密码时,他们经常使用相同的模式进行微小的转换。 用户可以更改号码或将字母更改为符号,或添加或删除特殊字符,但保留密码的相同基础,而不是创建全新的密码。

阅读:

即使用户每次要求他们创建唯一的密码,但是它几乎没有用。 一项发现,更改密码对防止黑客通过暴力攻击访问帐户的影响微乎其微,这意味着更改对用户造成的不便不仅比攻击者更多。

除了放弃对常规密码更改的要求之外,NIST还建议网站允许用户创建长度至少为64个字符的密码并包含空格,以便人们可以创建可能更容易记住并且抛弃特殊字符的密码短语要求。

这是一个想法,许多安全专家支持使用一个人通常不会使用的特殊字符的密码。 由于字符数量庞大且易于记忆,短语更难以破解。

如果NIST的草案继续发展,用户应该会看到使用密码短语的能力开始突然出现,并且任意密码更改都会从许多站点和服务中消失。 NIST是一个政府组织,它设定了许多私营部门实体使用的标准和最佳实践。


最近更新

本类推荐

本类排行