许多人仍然使密码过于简单。 Shutterstock / Vitalii Vodolazskyi
超过15年的时间,技术领导者对密码的死亡有各种预测。 比尔·盖茨预言 早在2004 和微软有 预测到2021年。 两者之间有许多类似的声明,并且不断有人批评密码是一种不足的保护手段。
然而,密码仍然是人们每天使用的网络安全的一个常见方面。 而且,密码几乎没有消失的迹象。 但是很多人 还是不好用 似乎没有意识到推荐的良好做法。
对于网络安全专家和 公司责怪用户 密码使用不当,而又没有意识到系统允许他们选择不当。
许多网站都没有提供有关如何选择要求我们提供的密码的预先指导,也许假设我们已经知道这些知识,或者可以在其他地方找到它。 但是人们仍然坚持这一事实 使用弱密码 表示这是一种乐观的看法。
过时的建议
除了缺乏指导之外,通常还会找到实施过时密码要求的网站。 您可能对坚持密码复杂性的系统很熟悉,这些系统要求使用大写字母,数字或特殊字符来使密码更强(我们的响应通常会反映以下视频)。
然而, 目前的指导 是为了允许复杂性而不是要求复杂性,并且基本上将密码强度视为密码长度的代名词。
国家网络安全中心 建议通过组合三个随机词来创建一个长密码,以使密码比许多标准选择更长,更令人难忘。
我的密码尝试
同样无济于事的是,许多站点没有在一开始就给出指导和要求,而是仅公开规则以响应我们尝试不允许的事情。 我尝试为一个这样的网站创建密码。 我的大多数尝试都收到了需要采取进一步措施的反馈,直到我做出最终选择为止,最终选择被接受而没有任何投诉。 但是,被接受的密码,史蒂夫!很短而且很可预测。
与规则搏斗。 史蒂芬·弗内尔, 作者提供
当我玩得更多时,其他各种较弱的选择也被接受了。 例如1234a!,abcde1和qwert! 所有人都遵守规则,Furnell1也是如此-并不是特别强大,尤其是因为我已经在注册表格上的其他地方输入了Furnell作为我的姓氏。
同时,规则通常意味着我们不能使用为我们自动生成的设备密码,也不能使用按照当前指南为自己创建的密码。
许多网站不允许生成密码。 史蒂芬·弗内尔
一些网站似乎认为他们可以通过使用密码表等技术来评估我们的选择来弥补指南的不足。 但是,尽管这些提供了反馈,但它们并不能代替提供有关外观的指导。
在另一个站点上,我输入了错误的密码(单词word),并且收到的唯一反馈是该密码非常弱。 如果用户确实是在尝试提供此密码,那么需要告知他们的原因就是密码弱。 尽管您无疑可以找到一些站点,它们提供了更好,更有用的反馈,但不幸的是,此示例代表了许多其他站点。
遵循的规则
当然,在强调了缺乏有效指导的情况下,如果没有实际提供一些指导,就将其终止。 NCSC的指导 下面列出了有关选择和使用密码的信息,并在下面作了简要说明:
- 为您的电子邮件使用一个单独的强密码-因为这通常是您访问其他帐户的途径。
- 使用三个随机词来创建强密码–这将为您提供更强大,更难忘的密码。
- 将密码保存在浏览器中–这样可以防止您忘记或丢失密码。
- 启用两因素身份验证–即使您的密码被盗,这也会增加额外的保护元素。
用其他提醒来补充此信息很有用, 使用相同的密码 跨多个帐户,因为担心违反一个帐户会导致所有人的帐户泄露,而不是与他人共享,因为那样一来您的密码就不再是您的密码,并且就不会保留可发现的记录。 可以将它们存储在受保护的位置,例如密码管理器工具。
令人担忧的是,密码已经存在了数十年,而我们仍然会弄错它。 它们只是我们需要正确使用的网络安全的一个方面。 这对于更广泛的网络安全而言并不是一个好兆头。
关于作者
书籍_安全
