首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

密码有必要经常改吗?老郝说密码之二

原计划写一个长文,是关于密码的几个常见误区,以及软件或互联网产品设计中如何保障密码安全。写着写着发现太长了,因此拆开几个独立的小文,这些小文就是【老郝说密码系列】,方便大家阅读。

很多机构都建议用户要定期修改密码,理由是防止被黑客破解。这个给出的理由本身是错误的,密码是不是容易被破解与密码强度有关,与定期改不改密码无关。

密码是否要定期改与使用场景有关,常改密码是为了防止你的信息被长期监听。老郝十分不赞同不分场景就让用户经常改密码的做法,这样看似更安全,实际上多数人会选择改成更简单更好记的密码,客观上让密码更不安全。

实际上,美国国家标准与技术研究所(NIST)发布的SP800-63B 数字身份指南里,也已经淘汰了“定期修改密码”等过时的要求:

停止密码到期。这是我们以前使用计算机的一个老的想法。如今不要让人改变密码,除非有泄密的迹象。

NIST在SP800-63B中同时还对密码提出另外一个建议,就是建议用“密码短语”取代传统密码,关于这点老郝在昨天的文章里已经谈到了,怎么设好记又安全的密码,说的就是密码短语。

那么,什么场景下从需要定期修改密码,我们分别举几个例子看一下:

单位办公:你登录单位办公系统的密码长期不变,也没有双因素验证手段,而竞争对手公司获取了你的密码,可以长期用你的账户进入你们内部办公系统窃取敏感信息。这种场景下最好的解决办法,是采用双因素身份验证,如果条件暂时不具备,为了降低这种风险才有必要定期修改密码。

系统管理:你是一个系统管理员,有单位各个系统的管理权限,但是没有用双因素身份验证,如果某个系统的密码被黑客掌握,黑客通过这个系统可以在内部网络中长期渗透控制更多系统。同样的,这种场景下最好也用双因素身份验证,如果条件暂时不具备,才有必要定期修改密码。

银行账户:黑客盗取银行账户密码的目的是得到账户里的钱,那么他得到密码后就会第一时间把钱转走,这种场景下定期修改密码没有意义。当然,如果你怀疑密码泄露,就需要立刻改掉密码。

通过上面的例子,我们总结一下:

定期修改密码是过时的要求,对保护用户账户安全没有什么帮助,往往还会让密码更不安全。

应该用双因素身份验证来取代定期修改密码,除非条件不具备时无法使用双因素身份验证。

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20180227G1EVK500?refer=cp_1026
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

扫码

添加站长 进交流群

领取专属 10元无门槛券

私享最新 技术干货

扫码加入开发者社群
领券