3月5日,據ZDNet報道,美國聯邦貿易委員會(FTC)的研究人員發現,強迫電腦用戶更改密碼并不一定能提高安全性,反而可能弊大于利。
FTC的首席技術專家根據羅麗·克蘭納(Lorrie Cranor)稱,強迫用戶定期更改密碼“可能實際上弊大于利”。這個話題已經爭論了幾十年,但克蘭納是在經過認真的研究之后得出上述結論的。
一個有趣的發現是,如果研究人員破解了一個密碼,他們往往在很短的時間里就能猜出用戶的新密碼,原因是用戶在被迫修改密碼時往往只在原密碼的基礎上作細小的改動。例如,用戶會將“secret10jan”改為“secret10mar”。
此外,克蘭納指出:“還有一個通過訪談和調查研究得到的證據表明,如果用戶知道他們將不得不定期更改密碼,他們往往不會在一開始就設置安全度很強的密碼,而且可能會把密碼寫下來。”
如果用戶被要求設置一個使用十年的密碼,他們就可能會設置一個安全度很強同時也難以記住的密碼。如果他們被要求設置只能使用三個月的密碼,他們就更有可能設置相對簡單因而也容易破解的密碼。
相比強迫用戶更改密碼,更好的做法是讓用戶使用較長(一般來說安全度也較高)的密碼,并迫使他們使用一些非字母字符。要提高用戶的密碼安全性,教育是比強迫才是更好的方法。
當然,對于重要的系統,最好是采用某種形式的雙因素身份驗證。即使最好的用戶生成口令可以抵擋當今先進的破解技術,它們仍然很容易受到肩窺、網絡釣魚和社交工程攻擊的威脅。
京公網安備 11010502049343號