In 2003, 美国国家标准与技术研究所(NIST)表示,强密码应该由大写字母和小写字母组成, 数字, 和符号. 然而,该研究所现在已经改变了立场. 找出原因并了解他们的新建议是什么.
这个问题
问题不在于NIST建议人们创建易于破解的密码, 但他们之前的建议无意中让人们使用可预测的大写字母创建了弱密码, 特殊字符, 和数字, 像“P@ssW0rd1.”
这样的密码看起来很安全, 但它的字符串很容易被黑客利用普通算法破解.
此外, NIST还建议人们定期更换密码, 他们没有具体说明如何以及何时改变它们. 没有适当的指导, 许多人认为这意味着每年增加或更改一两个字符.
NIST基本上强迫每个人使用密码,这些密码对人类来说很难记住,但对黑客的算法来说很容易破解.
最终,该机构承认,他们的建议产生的问题比解决的问题要多. NIST随后改变了其对组织密码管理要求的立场, 并建议取消强制定期更改密码,并取消复杂性要求.
解决方案
安全顾问弗兰克·阿巴格内尔和KnowBe4首席黑客官凯文·米特尼克都看到了一个没有密码的未来. 两位安全专家都建议企业在登录策略中实现多因素认证(MFA).
除了密码之外,MFA还要求用户输入一个或多个有效凭据以获得对帐户的访问权限. 这可能是物理安全密钥, 移动设备上的登录提示符, 或者面部或指纹扫描. 如果没有额外的安全要求,黑客破解密码的尝试将是徒劳的.
此外, 米特尼克建议使用25个字符或更多的长密码, 比如“谦恭有礼”或“傲慢傲慢”.“这些更难以猜测,更不容易被黑客攻击. 简单地说, 密码应该更长一些,并且包含一些毫无意义的短语和单词,使自动系统几乎不可能破解它们.
更重要的是, NIST建议将新密码与常用或泄露密码列表进行强制筛选. 这是因为一个复合体, 25个字符的密码在被泄露的那一刻就已经被认为是脆弱的.
最后,您还应该在公司内部实施以下安全解决方案:
在安全方面,无知是企业的克星. 如果你想知道你还能做些什么来保持安全,就给我们打电话.
你一定是 登录 发表评论.