在设置密码的时候,我们总被提醒要尽量复杂一些,最好是大小写字母、数字、特殊符号混合使用,比如“Wohao5huA!”、“P@55w0rd”、“Uj3k?u90”,而且最好定期更换,但其实,这都是错的!
2003年,Bill Burr为美国政府工作的时候提出了密码安全领域的这一“圣经”:使用大写字母、数字和非字母符号,原因是复杂的密码难以被猜到,同时他建议经常更换密码。
但是现在,Burr终于承认,他的建议是错的!
他表示,这些办法其实不能提高密码的安全性,反而会更容易受到攻击,因为用户设置了复杂密码后,可能会重复使用,或者为了避免忘掉,往往会写下来甚至贴在电脑旁边。
单纯从技术上讲,数字和特殊符号的加入,也不会让密码免于黑客的暴力破解。
甚至,定期更换密码的建议也是错误的,因为很多人只会更换其中部分字符,或者为了避免忘记写下来。
美国国家科学技术研究所现在已经更新了密码指南,要点包括:
- 不要重复使用密码
- 大小写字母组合密码没有想象的安全,意义不大
- 更好的选择是很长但易记的密码,或者短语,比如说“shangfangwenqlovesmydrivers”就比“Wohao5huA!”难以破解得多。
- 更安全的办法是使用双重验证,比如登陆短信确认
