一般网站强制用户使用强密码，是否合适？

美国国家标准和技术协会（NIST）发布了《数字身份验证指南（DAG）》的最新草案，该草案对以前的密码安全设置以及公司在制定相关安全政策时的许多标准和做法都进行了修改和调整。在新版的密码安全保护方面，该指南不再要求用户定期修改密码。因为经过调查，频繁的更改密码并没有达到保护密码安全的预期目的。NIST最新建议在用户想要修改的时候再去修改，用户发现自己的设备有被攻击的迹象时应立即修改密码，用户在设置密码的时候没有必要混合大写字母、字符和数字，因为研究显示这样并不能让密码的安全性提高，反而会让用户容易忘记密码，公司应该允许用户使用emoji（表情符号）来进行加密设置， 最保险的加密办法应该是加盐算法+哈希算法+ MAC算法，提高用户密码强度的最佳方式就是合理地选择密码字典，并尽量避免直接使用用户名、生日、连续数字这样的简易密码，根据已知的受损凭据列表定期检查用户凭据。对于以上这些安全建议，NIST起草标准的作者之一保罗•格拉西（Paul Grassi）表示，这些建议都还在征求意见阶段，并不是强制性的，预计草案会在今年年中通过。CSO的反应用户通常会通过用特殊字符替换阿尔法符号来对密码进行组合，但是对于黑客来说，他们已经对用户的这种密码设置技巧非常了解了，所以对密码的真实熵来说，安全性就降低了很多。每个人都知道用感叹号代替的是1，或者I，或是密码的最后一个字符，$代替的是S或5。如果我们使用这些众所周知的技巧，那密码几乎没有任何安全性可言。在新的密码要求方面，保罗•格拉西表示NIST很高兴能为用户提供密码设置方面的建议。从根本上说，新的修订草案能让用户对密码的设置强度有一个更客观地理解。另外，NIST还为安全代理商提供了很多安全保护方面地选择，让他们能够利用用户可能已经拥有的工具，如智能手机，认证应用程序或安全密钥等来提高用户的安全体验。