什么是密码轮换以及如何正确执行?

What is Password Rotation

我们已经讨论了创建良好的密码策略有多困难。问题的部分原因在于这不是“一劳永逸”的任务。公司必须不断适应在线威胁形势的变化,并应根据最新趋势和变化来修改其密码策略。这是现实发生的吗?

好吧,在2016年,美国政府下属的非监管机构国家标准技术研究院(NIST)建议公司不要每隔几个月就强迫员工更改密码。这与企业先前所建议的完全相反,但是NIST说,有充分的证据表明强制性密码更改正在对人们的在线安全产生不利影响。许多专家赞扬NIST的建议并继续提供支持,但是尽管如此,即使到现在,也就是接近四年后的今天,一些组织仍在强迫其员工定期更改其密码。

频繁更改密码会导致密码轮换

强迫人们频繁更改密码的主要问题是,您对他们施加的压力导致错误,可能会对其在线安全造成严重后果。大家都知道创建一个强密码是多么困难,并且只能想象如果需要定期进行密码设置会多么困难。

因为这是一个负担,所以需要更改密码的人们经常选择省去麻烦,并对现有密码进行简单的修改(例如,将“ password1”替换为“ password2”)。人们采用的另一种策略是创建一个由三个或四个密码组成的有限列表,并定期轮换使用。

安全专家可以列出密码轮换是个坏主意的多种原因。用户通常尝试记住三个或四个密码,因此,凭据不是很安全。另一个问题来自这样的事实:密码不时地变得有效。从理论上讲,如果黑客拥有您旋转的密码之一,则他们可以定期对您的帐户进行测试,最终,他们将获得正确的时机并成功破解。

防止定期更改密码的总体原因是网络犯罪分子在试图破坏您的帐户之前不会等待您更改密码,但是在密码轮换方案中切换凭据的重复性使得选择密码的人可以选择这个策略特别脆弱。不幸的是,正如我们已经提到的,有时其他选择是有限的。

如果只有密码轮换是怎么办?

一些组织仍会强制执行常规的密码更改,这意味着密码轮换非常活跃。更糟糕的是,有些公司不允许使用密码管理器,这可以消除完全旋转密码的需要。

如果除了轮换密码列表外别无选择,则至少可以尝试尽可能降低风险。使用各种各样的字符,并使密码看起来尽可能随机。通过创建大量密码,您进一步限制了成功破解的机会,但是您必须确保它们彼此之间有本质上的不同。最后但并非最不重要的一点是,与负责在您公司中创建密码策略的负责人联系,并告诉他们有关安全框架的想法已过时。

March 18, 2020
正在加载...

Cyclonis Backup Details & Terms

免费的基本 Cyclonis 备份计划为您提供 2 GB 的云存储空间和完整的功能!无需信用卡。需要更多存储空间?立即购买更大的 Cyclonis 备份计划!要详细了解我们的政策和定价,请参阅服务条款隐私政策折扣条款购买页面。如果您想卸载应用程序,请访问卸载说明页面。

Cyclonis Password Manager Details & Terms

免费试用:30 天一次性优惠!免费试用不需要信用卡。免费试用期间的全部功能。 (免费试用后的完整功能需要订阅购买。)要了解有关我们的政策和定价的更多信息,请参阅EULA隐私政策折扣条款购买页面。如果您想卸载应用程序,请访问卸载说明页面。