確保密碼安全且易於記住的四種方法
許多人仍然使密碼過於簡單。
Shutterstock /維塔利·沃多拉茲斯基(Vitalii Vodolazskyi)

超過15年的時間,技術領導者對密碼的死亡有各種預測。 比爾·蓋茨預言 早在2004 和微軟有 預測到2021年。 兩者之間有許多類似的聲明,並且不斷有人批評密碼是一種不足的保護手段。

然而,密碼仍然是人們每天都在使用的網絡安全的一個常見方面。 而且,密碼幾乎沒有消失的跡象。 但是很多人 還是不好用 似乎沒有意識到推薦的良好做法。

對於網絡安全專家和 公司責怪用戶 密碼使用不當,而又沒有意識到系統允許他們選擇不當。

許多網站都沒有提供有關如何選擇所需密碼的預先指導,也許假設我們已經知道這些知識,或者可以在其他地方找到它。 但是人們仍然堅持這一事實 使用弱密碼 表示這是一種樂觀的看法。


內在自我訂閱圖形


過時的建議

除了缺乏指導之外,通常還會找到實施過時密碼要求的網站。 您可能對堅持密碼複雜性的系統很熟悉,這些系統要求使用大寫字母,數字或特殊字符來使密碼更強(我們的響應通常會反映以下視頻)。

然而, 目前的指導 是為了允許複雜性而不是要求復雜性,並且基本上將密碼強度視為密碼長度的代名詞。

國家網絡安全中心 建議通過組合三個隨機詞來創建一個長密碼,以使密碼比許多標準選擇更長,更令人難忘。

我的密碼嘗試

同樣無濟於事的是,許多站點沒有在一開始就給出指導和要求,而是僅公開規則以響應我們嘗試不允許的事情。 我嘗試為一個這樣的網站創建密碼。 我的大多數嘗試都收到了需要採取進一步措施的反饋,直到我做出最終選擇為止,最終選擇被接受而沒有任何投訴。 但是,被接受的密碼,史蒂夫!很短而且很可預測。

確保密碼安全且易於記住的四種方法
與規則搏鬥。
史蒂芬·弗內爾, 作者提供

當我玩得更多時,其他各種較弱的選擇也被接受了。 例如1234a!,abcde1和qwert! 所有人都遵守規則,Furnell1也是如此-並不是特別強大,尤其是因為我已經在註冊表格上的其他地方輸入了Furnell作為我的姓氏。

同時,規則通常意味著我們不能使用為我們自動生成的設備密碼,也不能使用按照當前指南為自己創建的密碼。

許多網站不允許生成密碼。
許多網站不允許生成密碼。
史蒂芬·弗內爾

一些網站似乎認為他們可以通過使用密碼表等技術來評估我們的選擇來彌補指南的不足。 但是,儘管這些提供了反饋,但它們並不能代替提供有關外觀的指導。

在另一個站點上,我輸入了錯誤的密碼(單詞word),並且收到的唯一反饋是該密碼非常弱。 如果用戶確實是在嘗試提供此密碼,那麼需要告知他們的原因就是密碼弱。 儘管您無疑可以找到一些站點,它們提供了更好,更有用的反饋,但不幸的是,此示例代表了許多其他站點。

遵循的規則

當然,在強調了缺乏有效指導的情況下,如果沒有實際提供一些指導意見,將其終止是可以的。 NCSC的指導 下面列出了有關選擇和使用密碼的信息,並在下面作了簡要說明:

  1. 為您的電子郵件使用一個單獨的強密碼-因為這通常是您訪問其他帳戶的途徑。
  2. 使用三個隨機詞來創建強密碼–這將為您提供更強大,更難忘的密碼。
  3. 將密碼保存在瀏覽器中–這樣可以防止您忘記或丟失密碼。
  4. 啟用兩因素身份驗證–即使您的密碼被盜,這也會增加額外的保護元素。

用其他提醒來補充此信息很有用, 使用相同的密碼 跨多個帳戶,因為擔心違反一個帳戶會導致所有人的帳戶洩露,而不是與他人共享,因為那樣一來您的密碼就不再是您的密碼,並且就不會保留可發現的記錄。 可以將它們存儲在受保護的位置,例如密碼管理器工具。

令人擔憂的是,密碼已經存在了數十年,而我們仍然會弄錯它。 它們只是我們需要正確使用的網絡安全的一個方面。 這對於更廣泛的網絡安全而言並不是一個好兆頭。談話

關於作者

史蒂芬·弗內爾,網絡安全教授, 諾丁漢大學

書籍_安全

本文重新發表 談話 根據知識共享許可。 閱讀 原創文章.