NIST建议不要定期更改密码

美国国家标准与技术研究院(NIST)不再建议人们定期更改其密码,作为该组织新的数字身份指南草案的一部分

该命令草案,特别出版物800-63-3,对曾经被认为是密码或“记忆秘密”的最佳安全实践做了一些修改,正如NIST提到的那样 - 包括不再鼓励网站和服务要求用户随意更改密码

阅读:世界密码日:如何创建安全密码根据NIST最新指南的身份验证和生命周期部分,它建议网站和服务“不要求任意记录(例如,定期)更改记忆的秘密,除非有用户请求或者认证者妥协的证据

“这种变化与曾经被认为是必要的安全选择相反,特别是对于那些持有金融机构和医院等敏感信息的网站

近年来,越来越多的安全专家认为,除非有明确的理由,否则不应要求人们更改密码,主要是因为人们只是在他们知道的时候没有努力创建安全密码他们将在几个月内改变它

北卡罗来纳大学教堂山分校进行的一项研究发现,当人们需要定期更改密码时,他们经常使用相同的模式进行微小的转换

用户可以更改号码或将字母更改为符号,或者添加或删除特殊字符,但保留密码的相同基础,而不是创建全新的密码

阅读:我的密码安全吗

如何改变,在黑客攻击后制作强大的密码即使用户每次要求他们创建唯一的密码,也几乎没有多大帮助

卡尔顿大学的一项研究发现,更改密码对防止黑客通过暴力攻击访问帐户的影响微乎其微,这意味着这些变化给用户带来的不便不仅仅是攻击者

除了放弃对常规密码更改的要求之外,NIST还建议网站允许用户创建长度至少为64个字符的密码并包含空格,以便人们可以创建可能更容易记忆并且抛弃特殊字符的密码短语要求

这是一个想法,许多安全专家支持使用一个人通常不会使用的特殊字符的密码

由于字符数量庞大且易于记忆,短语更难以破解

如果NIST的草案继续发展,用户应该看到使用密码短语的能力开始突然出现,并且任意密码更改都会从许多站点和服务中消失

NIST是一个政府组织,它设定了许多私营部门实体使用的标准和最佳实践

上一篇 :Apple Watch 3在作品中具有灵活的显示效果?
下一篇 由于参议院投票获取海外服务器,数据隐私是否存在危险?