設(shè)置密碼是確保人們安全關(guān)閉和調(diào)出應(yīng)用程序的一種方式，為數(shù)據(jù)和信息提供保障。但現(xiàn)實是密碼仍然十分重要。電子郵件或社交媒體，網(wǎng)上銀行或網(wǎng)絡(luò)游戲，應(yīng)用程序或網(wǎng)絡(luò)服務(wù)，這些應(yīng)用所保持的某種用戶數(shù)據(jù)仍然依賴于密碼進(jìn)行保護(hù)。如果用戶沒有更好地進(jìn)行加密，那么攻擊者將會快速竊取銀行帳戶并接管網(wǎng)絡(luò)服務(wù)。

[[208925]]

人們都知道一些基本常識，例如不能使用“password”這樣簡單的詞匯作為密碼。如果可能的話，最好在網(wǎng)上帳戶上啟用雙因素身份驗證，通過短信發(fā)送密碼要比不采取任何措施要好得多，并使用密碼管理器來跟蹤所有的密碼。不幸的是，很多關(guān)于密碼的建議聽起來很合理，但需要一定的場景才能有所實現(xiàn)。以下是一些人們常有的密碼誤區(qū)，需要進(jìn)行澄清。

密碼誤區(qū)1：密碼需要大小寫，數(shù)字和特殊字符的混合

真相：復(fù)雜密碼可以提供更多的安全限制。是的，“letmein”是一個糟糕的密碼，但是“Password1”，“Abc123”和“Passw0rd”并不會更好，盡管這是字母和數(shù)字混合的案例。

根據(jù)字典詞匯來創(chuàng)建密碼是一個糟糕的想法。將一些字母替換為數(shù)字或符號也不是一個聰明或獨(dú)特的想法。密碼破解者知道在其查找表中包含“vuln3rabl3”或“trustno1”等字樣。事實上，后者這樣的密碼在2014年已在美國調(diào)研機(jī)構(gòu)SplashData公司選出的前25名最常用的密碼列表之中。

為了公平起見，使用字母的大小寫，數(shù)字和特殊字符的混合作為密碼要比使用小寫字母更強(qiáng)大。雖然精確數(shù)字將隨著處理能力而變化，但現(xiàn)代計算機(jī)只需要兩天的時間就可以破解全部為小寫字母的8個字符密碼(因為有26的8次方或208,827,064,576種可能的組合)，而如果采用一個大型僵尸網(wǎng)絡(luò)破解只需1.8秒。而采用特殊的符號或顛倒的組合等混合的方法有助于減緩破解，

如果字符串并不是隨機(jī)的，采用字母大小寫，數(shù)字和特殊字符的所有混合都不會有任何好處。考慮到2015年和2016年，SplashData公司的前25名的名單中出現(xiàn)了“1qaz2wsx”和“1q2w3e4r”這樣的密碼。用戶試圖遵循這些規(guī)則，但使用順序的關(guān)鍵變化或常見的模式會破壞這個規(guī)則應(yīng)該完成的好處。密碼破解者知道順序鍵模式，也可以查看鍵盤以查找潛在的模式。

但是使用順序鍵變化或普通模式破壞了這個規(guī)則應(yīng)該完成的好處。密碼破解者知道順序鍵模式，也可以查看鍵盤來尋找潛在的模式。

密碼誤區(qū)2：良好的密碼必須非常長

真相：設(shè)置的密碼當(dāng)然越長越好，但8到12個字符就足夠了。設(shè)置更長的密碼這并沒有錯，因為破解長度較短的密碼比長度較長的密碼的時間要少得多。攻擊者嘗試破解只有6個字符的密碼要比一個8個字符甚至10個字符的密碼更容易一些。對于現(xiàn)代計算機(jī)來說，使用字母大小寫和數(shù)字混合的8個字符的密碼將需要5.88年的時間來破解，但是采用僵尸網(wǎng)絡(luò)只需要31分鐘。而將密碼增加到10個字符，僵尸網(wǎng)絡(luò)進(jìn)行破解需要83天。例如"%ZBGbv]8g?"這個 10個字符的密碼在電腦上破解可能需要289217年，而采用僵尸網(wǎng)絡(luò)可能需要3年時間。

人們甚至不需要使用符號和數(shù)字，一個40個字符長的混合密碼將需要一千多年的時間才能破解。顯然，密碼較長是一種安全方式(在存儲密碼之前使用哈希技術(shù)也很重要，但這并不重要。)

讓人們來考慮一下威脅模型。在這里解決的最大的問題是什么?如果最大的擔(dān)憂是有人會進(jìn)入數(shù)據(jù)庫并竊取密碼哈希，那么設(shè)置非常長而復(fù)雜的密碼絕對是必要的事情。但企業(yè)最關(guān)心的是密碼重用和網(wǎng)絡(luò)釣魚，在這種情況下密碼的長度并不重要。如果攻擊者已經(jīng)通過網(wǎng)絡(luò)釣魚活動獲取了實際的密碼，那么密碼是8個，20個或者50個字符都無關(guān)緊要。攻擊者只需復(fù)制并粘貼就可以。如果用戶被要求輸入20個字符的密碼，并且沒有密碼管理器，那么密碼將被重用。這是給定的。

需要保護(hù)的是什么?這也很重要。對于可能被認(rèn)為是低風(fēng)險的東西，也許當(dāng)?shù)氐墓矆D書館，采用8個字符的密碼就足夠了。對于涉及財務(wù)事項則需要更長的密碼。安全是一個權(quán)衡，保護(hù)最有價值的帳戶和諾克斯級保護(hù)。不要重復(fù)使用密碼，提防釣魚詐騙，對于許多帳戶來說，采用8個字符的密碼就足夠好。這就是為什么美國國家標(biāo)準(zhǔn)和技術(shù)協(xié)會(NIST)的最新指南沒有任何內(nèi)容要求密碼長度超過8個字符的原因。

還有一個問題：密碼太長，用戶更容易使用“忘記密碼”?并使用基于知識的答案重置密碼。那么他人更容易猜出其寵物或其長大的城市的名稱，這比猜測其密碼要容易得多。

密碼誤區(qū)3：千萬不要隨意寫下密碼

真相：更多的是如何去做。而除了使用“password1”作為密碼之外，對于密碼最不安全的行為是記錄密碼之后，將其放在不安全的場合。然而，這并不是一個可怕的想法。不要把它寫在一個便條上或記在電腦的文本中。而是在寫下較長而復(fù)雜的密碼，放在自己的錢包中，同時還要牢記在腦海中。殺毒軟件商Sophos公司的安全專家Chet Wisniewski說，他也會寫下重要的密碼，并把它們存放在一個保險箱里。

密碼誤區(qū)4：定期強(qiáng)制更改密碼提高安全性

真相：這只能讓用戶更從地選擇弱密碼。直到最近，要求常規(guī)密碼更改才是企業(yè)安全政策的主要內(nèi)容。一些組織甚至指定最小密碼的位數(shù)，防止密碼的重復(fù)使用和最小數(shù)量的字符更改，以確保新密碼與前一個密碼具有“足夠不同”。 強(qiáng)制性的密碼更改是有意義的，當(dāng)人們擔(dān)心密碼可能被泄露或暴露時，強(qiáng)制密碼重置是一個好主意。但是，隨著時間的推移，人們真的定期更改密碼了嗎?

美國國家標(biāo)準(zhǔn)和技術(shù)協(xié)會(NIST)新的建議表明，要讓密碼安全設(shè)置不要過于復(fù)雜，因為精心制定的規(guī)則使用戶更難完成工作，并提高了執(zhí)行和執(zhí)行規(guī)則的管理和支持成本。定期更改密碼聽起來不錯，但這會讓用戶更難記住最新的密碼。他們通過重復(fù)使用密碼或創(chuàng)建易于猜測的模式來做出響應(yīng)(例如從password1，password12，password123等進(jìn)行切換，就是這樣的一個模式)。