966
魔獸
強密碼和弱密碼並沒有什麼區別?NIST密碼安全標準更新:不再建議密碼要求混合大寫字母、字符和數字
作為一名認真負責的小編,每次注冊賬號設置密碼的時候都是最痛苦的,太簡單的怕被破解,太難的又記不住。
等你好不容易記住密碼,三個月後IT同學過來拍拍你的肩膀,“你的密碼到期了,記得改啊……”
目前絕大部分網站對於注冊賬號的密碼強度分為3個等級:弱密碼、中密碼、強密碼。網站會引導用戶填寫密碼的時候混合大寫字母、字符和數字的強密碼。
但這種密碼設置要求來源於美國國家標準和技術協會(NIST)。當年NIST主管Bill Burr撰寫了一份名為NIST Special Publication 800-63的文檔,建議大家設置密碼時混合大寫字母、字符和數字,並定期修改。這麼成(keng)熟(die)的建議後來被各大媒體廣為傳播,一時傳為美談。
緊接著國內外網站紛紛響應,吃瓜群眾創造了各種各樣的花式密碼。
單詞間隔法:Pa55word!1
古詩轉化法:Heartulx1.tong(心有靈犀一點通)
化學方程式:CH4+2O2=CO2+2H2O
鍵盤順序法:1qaz@WSX
……
但在今年6月,原作者後悔了……美國國家標準和技術協會(NIST)提供的最新數字身份指南的新版草案中,不再推薦用戶使用這一標準,因為研究顯示此類標準,並沒有什麼卵用……
比如形似“Tr0ub4dor&3”這樣的密碼隻需要用標準的破解技術在三天之內就能夠破解,而且你很容易在被破解之前就忘掉自己的密碼。而一句完全采用英文單詞組成的摸不著頭腦的短語 “correct horse battery staple”卻需要約550年來破解。(如來佛祖的五指山都壓不住啦)
而這組詞語很容易形成獨特的畫麵,對於人類來說非常容易形成記憶,但對計算機來說堪比天書,使得它很難被破解。
圖片來自網絡
另外研究顯示,頻繁的更改密碼沒有預想的效果,達不到保護密碼安全的目的。因為大多數人應對 90 天更改密碼要求采取的做法是將現有密碼略微修改一下,比如 Pa55word!1 改為 Pa55word!2,完全起不到保護作用,很容易被猜出。
NIST數字身份指南的新版草案作者 Paul Grassi指出,此前的密碼安全建議都是在摸索中前進,沒有前人的嚐試也無法摸索出切實有效的密碼建議。所以也不再建議大家密碼要求混合大寫字母、字符和數字。他認為最重要的是儲存的密碼必須鹽化哈希 MAC 處理。
密碼的複雜性對於個人用戶來說很重要,但對於提供登錄場景的互聯網企業來說,風險防控更加重要,它是保護用戶賬號安全的最後一道防火牆。
即便在用戶無意間泄露密碼,或密碼設置過於簡單的情況下,企業能基於用戶行為、軟硬件環境信息、業務基礎信息綜合判定用戶登錄請求的風險程度,避免機器人撞庫或者非本人登錄。阿裏聚安全提供的數據風控功能,能有效對登錄場景進行防控,防止刷庫撞庫、暴力破解、可疑登錄等。並提供滑動驗證碼服務,通過生物特征判定操作計算機的是人還是機器,從而取代傳統驗證方式。
阿裏聚安全 - 數據風控
阿裏聚安全的數據風控功能,目前免費試用,歡迎來體驗測試!
免費體驗地址:https://jaq.alibaba.com/riskcontrol
------------
更多安全熱點資訊和知識分享,請關注阿裏聚安全的官方博客
最後更新:2017-08-15 14:02:29