账号密码该怎么设置更安全?

近日,密码管理工具 NordPass 发布了 2024 年全球各个国家最常用的密码名单,结果显示用户仍在使用众所周知的弱密码。统计数据显示,今年国内最常见的密码是“123456”;第二个和第三个最常见的密码同样如此,分别为“admin″和“111111

下图是中国区最常见的密码设置

账号密码该怎么设置更安全?

说实话,有点搞笑

目前绝大部分网站对于注册账号的密码强度分为3个等级:弱密码、中密码、强密码。大部分网站会引导用户填写密码的时候混合大写字母、字符和数字的强密码。

账号密码该怎么设置更安全?

在中文语境下,大家印象中的比较安全的密码可能是:

  • 化学方程式:CH4+2O2=CO2+2H2O
  • 键盘顺序法:1qaz@WSX
  • 名字+生日:cxk20011010
  • 网站地址+特定数字:xiaoheih123

美国国家标准和技术协会(下文简称NIST)曾经撰写了一份名为NIST Special Publication 800-63的文档,建议大家设置密码时混合大写字母、字符数字,并定期修改。目前大部分网站的账号密码,也是这样要求的。

但是很快,NIST提供的最新数字身份指南的新版草案中,不再推荐用户使用这一标准,因为研究显示此类标准,并没有什么卵用,由于计算机算力的提升,结合密码本破解,这种程度的密码已经无法防御住拥有超强算力的黑客组织了。

另外研究显示,频繁的更改密码没有预想的效果,达不到保护密码安全的目的。因为大多数人应对 90 天更改密码要求采取的做法是将现有密码略微修改一下,比如 Pa55word!1 改为 Pa55word!2,完全起不到保护作用,很容易被猜出。

账号密码该怎么设置更安全?

Authenticator

所以,如果你下载微软开发的双重验证工具Authenticator,他会给你生成很多非常复杂的登录口令:

账号密码该怎么设置更安全?

所谓的强密码

真正重要的是它的多重验证功能(MFA)我们常说的手机令牌就是MFA之一,一个安全的账号不能只依赖于复杂的密码,而应该有多重验证,比如手机验证码(虽然伪基站可以做中间人攻击,),手机令牌或者IP限定访问。

账号密码该怎么设置更安全?

多重验证流程

很多人可能会反驳我,steam有手机令牌,为什么还会被盗号,这个我之前的文章中讲过,主要原因是Steam会在用户电脑里存储授权文件,该文件被木马上传到了盗号服务器,才是被盗号的根源所在。本质还是steam身份认证有设计缺陷。

所以NSIT给出的一个建议是企业或者网站应该使用自适应多重身份验证,即通过使用上下文用户信息来动态增加或减少用户身份验证步骤,例如:失败登录的尝试次数,用户的地理位置,地理速度或连续登录尝试之间的物理距离,用于登录的设备,源 IP 地址,同时对存储的密码盐化哈希 MAC 处理。所以说责任在企业,面对有备而来的黑客,个人其实能做的并不多。

不管即使研究表明复杂密码并面对盗号者表现并没有那么好,但是仍要避免使用纯数字/字母短密码,以及带有明显规律的构造密码(如网站名+123),来降低被强力攻击的风险。

参考

1.知乎:强密码和弱密码并没有什么区别?NIST密码安全标准更新:不再建议密码要求混合大写字母、字符和数字

2.norfpass2024最受欢迎密码

3.微软:大部分密码复杂性努力都是徒劳的

#免责声明#

①本站部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责。

②若您需要商业运营或用于其他商业活动,请您购买正版授权并合法使用。

③如果本站有侵犯、不妥之处的资源,请联系我们。将会第一时间解决!

④本站部分内容均由互联网收集整理,仅供大家参考、学习,不存在任何商业目的与商业用途。

⑤本站提供的所有资源仅供参考学习使用,版权归原著所有,禁止下载本站资源参与任何商业和非法行为,请于24小时之内删除!

给TA打赏
共{{data.count}}人
人已打赏
生活杂谈

57岁梁实谈第28次高考:应该是最后一次了

2024-6-6 12:36:48

生活杂谈

不是,哥们,怎么还有,伪装成论坛的广告啊!!!

2024-6-6 15:36:14

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索