用戶經常選擇弱密碼時強制改變它們,但這是一個巨大的錯誤!
許多人仍然認為強迫用戶更改密碼通常是件好事,但是有相當多的安全專家認為要求用戶定期更改密碼可能比有用更有害。例如,兩年前,美國聯邦貿易委員會首席技術專家Lorrie Cranor發布了一篇博客文章 ,其中回顧了各種研究結果,提供的事實表明強制密碼更改可能存在負面影響。儘管如此,關於改變密碼是否有用的爭論依然存在,許多公司仍然要求其用戶不時更改密碼。在本文中,我們將解釋為什麼組織應該鼓勵用戶僅在有理由懷疑帳戶可能已被洩露時才這樣做。
Table of Contents
為什麼有人認為定期更改密碼更安全?
其背後的邏輯非常簡單:如果網絡犯罪分子設法獲取用戶的密碼,例如,在數據洩露期間,讓用戶替換舊組合將阻止黑客劫持它。換句話說,要求其用戶不時更換其密碼的公司認為這不是一種不便,而是作為必要的安全預防措施。不幸的是,正如我們將在下一段中解釋的那樣,強制用戶更改密碼並不能保證他的帳戶免受不必要的入侵者的侵害,因為這種安全措施僅在理想情況下有效。
為什麼強迫用戶更改密碼可能不是一個好主意?
您可能已經多次聽過強密碼必須是隨機的,並且應至少包含8個字符。理想情況下,您認為的組合應使用小寫和大寫字母,數字甚至符號。這可能聽起來很複雜,但實際上並不那麼困難。例如,用戶可以選擇他們記得的較長的短語,然後用數字或符號替換其中的一些字母。另一方面,如果通過稍微替換其字符來重複使用相同的密碼,即使它符合我們之前列出的所有要求,也不再被認為是安全的。
您可能不會在記住一對或幾個複雜密碼時遇到任何麻煩,但是當您需要定期提出新的強組合併記住它們時會發生什麼?毫無疑問,您完全有可能忘記新更換的密碼,雖然該帳戶可能對網絡犯罪分子安全,但您自己無法訪問它。知道這一點,許多計算機安全專家同意要求用戶更改密碼可能會使情況變得如此不方便用戶可能會感到被迫忘記所有網絡安全提示。我們想到的是,有些用戶可能會開始重複使用舊密碼,要么在兩種組合之間切換,要么選擇不那麼複雜的變體,以便更容易記住新的密碼。
在一項名為“現代密碼過期的安全性:算法框架和實證分析”的研究中觀察到了這種行為. 它回顧了從大約1萬名大學生和員工那裡學習的數千個密碼所獲得的結果。實驗的參與者被要求每三個月更換一次密碼。研究人員注意到,許多參與者只是簡單地用舊密碼替換了一些字符來創建一個新字符。他們的下一個任務是嘗試破解這些密碼。令人驚訝的是,他們設法在17%的研究賬戶中嘗試不到五次嘗試密碼,同時知道以前的密碼。
此外,另一組研究人員解釋說,獲得散列密碼的網絡犯罪分子(來自受攻擊網站的隨機字符串)可以應用離線破解工具並測試多種組合,直到他們猜出密碼為止。同樣,在這種情況下,使用稍加修改的版本更改密碼仍然無法保護帳戶。
總而言之,被迫更改密碼的用戶可能會接受糟糕的密碼創建習慣,從而使黑客更容易劫持他們的帳戶。因此,嘗試以這種方式保護用戶帳戶可能恰恰相反。
如果您被迫更改密碼該怎麼辦?
當然,如果您想繼續使用您不得不更改密碼的服務,除了遵守之外別無選擇。儘管如此,使用專用的密碼管理器,您可以在每次需要時創建全新的隨機密碼,您甚至不必記住它們。
例如,Cyclonis Password Manager有一個密碼生成器,允許從字母,符號和數字創建隨機密碼。用戶甚至可以選擇組合長度,可以是4到32個字符。此外,如果您安裝了應用程序的瀏覽器擴展程序,它會詢問您是否希望在首次登錄時保存密碼,以後如果忘記密碼則可以查找。此外,該應用程序具有自動登錄功能,允許用戶訪問其帳戶,而無需鍵入任何密碼或登錄名。
我們應該提到的另一件事是Cyclonis Password Manager會在用戶更改密碼時自動詢問並更新密碼,因此您不必擔心手動更新密碼。無需擔心數據安全,因為該工具將信息存儲在用戶設備或所選雲存儲上創建的加密保管庫中,這意味著您保存的密碼將保持安全。最後,最好的部分之一是Cyclonis Password Manager是免費的,任何人都可以使用它。
