用户经常选择弱密码时强制改变它们,但这是一个巨大的错误!

许多人仍然认为强迫用户更改密码通常是件好事,但是有相当多的安全专家认为要求用户定期更改密码可能比有用更有害。例如,两年前,美国联邦贸易委员会首席技术专家Lorrie Cranor发布了一篇博客文章 ,其中回顾了各种研究结果,提供的事实表明强制密码更改可能存在负面影响。尽管如此,关于改变密码是否有用的争论依然存在,许多公司仍然要求其用户不时更改密码。在本文中,我们将解释为什么组织应该鼓励用户仅在有理由怀疑帐户可能已被泄露时才这样做。

为什么有人认为定期更改密码更安全?

其背后的逻辑非常简单:如果网络犯罪分子设法获取用户的密码,例如,在数据泄露期间,让用户替换旧组合将阻止黑客劫持它。换句话说,要求其用户不时更换其密码的公司认为这不是一种不便,而是作为必要的安全预防措施。不幸的是,正如我们将在下一段中解释的那样,强制用户更改密码并不能保证他的帐户免受不必要的入侵者的侵害,因为这种安全措施仅在理想情况下有效。

为什么强迫用户更改密码可能不是一个好主意?

您可能已经多次听过强密码必须是随机的,并且应至少包含8个字符。理想情况下,您认为的组合应使用小写和大写字母,数字甚至符号。这可能听起来很复杂,但实际上并不那么困难。例如,用户可以选择他们记得的较长的短语,然后用数字或符号替换其中的一些字母。另一方面,如果通过稍微替换其字符来重复使用相同的密码,即使它符合我们之前列出的所有要求,也不再被认为是安全的。

您可能不会在记住一对或几个复杂密码时遇到任何麻烦,但是当您需要定期提出新的强组合并记住它们时会发生什么?毫无疑问,您完全有可能忘记新更换的密码,虽然该帐户可能对网络犯罪分子安全,但您自己无法访问它。知道这一点,许多计算机安全专家同意要求用户更改密码可能会使情况变得如此不方便用户可能会感到被迫忘记所有网络安全提示。我们想到的是,有些用户可能会开始重复使用旧密码,要么在两种组合之间切换,要么选择不那么复杂的变体,以便更容易记住新的密码。

在一项名为“现代密码过期的安全性:算法框架和实证分析”的研究中观察到了这种行为. 它回顾了从大约1万名大学生和员工那里学习的数千个密码所获得的结果。实验的参与者被要求每三个月更换一次密码。研究人员注意到,许多参与者只是简单地用旧密码替换了一些字符来创建一个新字符。他们的下一个任务是尝试破解这些密码。令人惊讶的是,他们设法在17%的研究账户中尝试不到五次尝试密码,同时知道以前的密码。

此外,另一组研究人员解释说,获得散列密码的网络犯罪分子(来自受攻击网站的随机字符串)可以应用离线破解工具并测试多种组合,直到他们猜出密码为止。同样,在这种情况下,使用稍加修改的版本更改密码仍然无法保护帐户。

总而言之,被迫更改密码的用户可能会接受糟糕的密码创建习惯,从而使黑客更容易劫持他们的帐户。因此,尝试以这种方式保护用户帐户可能恰恰相反。

如果您被迫更改密码该怎么办?

当然,如果您想继续使用您不得不更改密码的服务,除了遵守之外别无选择。尽管如此,使用专用的密码管理器,您可以在每次需要时创建全新的随机密码,您甚至不必记住它们。

例如,Cyclonis Password Manager有一个密码生成器,允许从字母,符号和数字创建随机密码。用户甚至可以选择组合长度,可以是4到32个字符。此外,如果您安装了应用程序的浏览器扩展程序,它会询问您是否希望在首次登录时保存密码,以后如果忘记密码则可以查找。此外,该应用程序具有自动登录功能,允许用户访问其帐户,而无需键入任何密码或登录名。

我们应该提到的另一件事是Cyclonis Password Manager会在用户更改密码时自动询问并更新密码,因此您不必担心手动更新密码。无需担心数据安全,因为该工具将信息存储在用户设备或所选云存储上创建的加密保管库中,这意味着您保存的密码将保持安全。最后,最好的部分之一是Cyclonis Password Manager是免费的,任何人都可以使用它。

April 30, 2019
正在加载...

Cyclonis Backup Details & Terms

免费的基本 Cyclonis 备份计划为您提供 2 GB 的云存储空间和完整的功能!无需信用卡。需要更多存储空间?立即购买更大的 Cyclonis 备份计划!要详细了解我们的政策和定价,请参阅服务条款隐私政策折扣条款购买页面。如果您想卸载应用程序,请访问卸载说明页面。

Cyclonis Password Manager Details & Terms

免费试用:30 天一次性优惠!免费试用不需要信用卡。免费试用期间的全部功能。 (免费试用后的完整功能需要订阅购买。)要了解有关我们的政策和定价的更多信息,请参阅EULA隐私政策折扣条款购买页面。如果您想卸载应用程序,请访问卸载说明页面。