美国国家标准与技术研究院密码安全指南：使用密码管理器让您的账户处于良好状态

美国国家标准与技术研究院（NIST）是美国商务部的一个联邦机构，这意味着虽然它没有任何监管职能，但它的工作人员或许了解许多其相关信息。多年来，NIST讨论了在线身份验证和密码等问题。正如它的名字一样，这个组织的目标是使技术世界标准化。虽然它还没有完全统一每个人的看法，但其指南会在一定程度上影响我们对于密码好坏的判断。

但这是否意味着我们应该继续听从它所提出的关于在线身份验证的所有内容？

NIST的密码指南并不完美

您所面临的问题可能是如何创建一个许多人所说的“强密码”，它超过12个字符，要包括大写和小写字母、数字和特殊符号。当然，这十分烦人，特别是当密码要求不够清楚的时候，更别说如何去记住这些复杂且容易弄混的字母、数字和特殊符号。

2013年时，美国国家标准与技术研究院表示这是创建密码唯一安全的方式，于是软件供应商开始让用户遵循这个准则，直到今天仍然如此。由于没有统一的标准，用户密码的复杂程度都由每个开发人员自己决定。那么结果如何？一味追求复杂密码使管理密码成为几乎不可能的任务。

用户努力满足这些设定密码的要求。有些人只是在密码的末尾加上“123@！”，但这完全违背了要求含有数字和特殊字符的目的。其他人将密码记在便签上，把它们粘在电脑屏幕旁，但最终很容易弄丢。对于大多数人来说，解决方法就是创建一到两个相当复杂的密码然后将其用于多个账户。

总而言之，NIST密码指南带来了很多不便，而其好处仍值得商榷。因此，大约一年半前，美国国家标准与技术研究院发布了新的指南。

美国国家标准与技术研究院做出改变

整件事情的发展看起来有些尴尬。2003年NIST指南的作者之比尔·伯尔（Bill Burr）为他提出的旧建议道歉，因为效果适得其反，并表示必须采取一些措施。

2017年夏天，不同的专家团队发布了NIST的新密码指南。这份指南更注重密码的长度而非复杂性。根据该文件（由于美国政府关闭，在撰写本文时资源不可用，但您可以在此处找到存档版本），“密码长度被证实是评估密码强度的主要因素。”它说明虽然加入额外的字符可以使密码更复杂，在理论上说更难以被破解，但是这类要求（比如，“Password123！@”给用户带来的负担降低它对整体密码安全性的影响。

NIST目前对软件供应商的建议是设置一个最小的密码长度要求，该要求应基于威胁模型。网站和应用程序还应该将其最大长度限制设置为不少于64个符号，并允许所有类型的字符（包括空格）。

这份条例鼓励用户避免一些不好的密码，而非创建好的密码（显然这个方法之前不奏效）。NIST的文件说，软件供应商应该禁止容易被猜出的词典单词，甚至建议他们检查用户创建的密码，以防在数据泄露时密码数据库也受到影响。在NIST发布其指南后，Troy Hunt，知名的HaveBeenPwned服务提供商，建立了一个免费的工具，可以对数以亿计的暴露密码执行此类检查。

NIS最新的密码指南中较有争议的一点是，应该彻底废除密码过期策略。该研究所的专家认为，除非密码被破解，否则哪怕密码已经设置了很久，也不应该改变它。不是所有人都同意这种观点。同样，它背后的逻辑非常明确：用户不愿意每隔几个月就记住一个全新的密码（理想情况下，这个密码很长很复杂）。因此，他们通常只是在旧密码后面加上“1”或“2”。如果雇主和供应商都决定采取这样的做法，那么密码管理或许不是件苦差事。这给我们带来了一个非常重要的结论。

即使有了NIST的新指南，用户仍然会遇到一些麻烦

新规则使安全管理密码的繁琐任务变得简单，但是要完成它们并不轻松。

一则著名的XKCD网络漫画中首先提出“创建长密码而非短且复杂的密码”这一建议。的确，这个观点有很大的意义：理论上来说，“correcthorsebatterystaple”比“Tr0ub4dor&3”具有更高的熵，毫无疑问它也更容易记住。但是问题是，如今您有几十分，甚至数百个在线用户。如果您想避免重复使用密码，那么您需要记住几十个，甚至几百个随机的四字组合。对于大多数人来说，这是一项艰巨的任务。

事实上，如果没有其他工具的帮助，管理大量的密码短语其实与管理大量密码一样困难。那么，唯一合理的解决方案就是密码管理器。

我们的Cyclonis密码管理器或许正是您所需要的。它可以在一个中央保管库中储存并加密您的登录信息以及其他敏感的数据。您只需一个主密码即可随时访问这些信息。通过内置的密码生成器，您可以在几秒钟内创建长且复杂的密码。Cyclonis密码管理器可以让您为所有账户创建强大且唯一的密码，使用过程非常方便。要了解有关其工作原理的更多信息，请点击此处。