知名网络安全专家,东方联盟创始人郭盛华曾透露密码安全性:“大写,小写,数字,符号,这是IT管理员设置密码规则时反复重复的口头禅。要求每30天左右更改一次密码,不要重复使用旧密码,甚至在任意周期内在同一位置输入字符,突然会有一套复杂的规则使用户的生活变得非常艰难。”
曾在一次网络大会中,郭盛华要求观众创建一个“复杂”密码,以填充我们都熟悉的常见八字符规则。使用基于云的系统并利用一些强大的GPU,他能够在一分钟内蛮力地破解该密码。然后,他要求另一位听众选择更长但更容易记住的密码短语,例如“我是一只狼”。相同的破解工具无法破解更长的密码,但是更容易记住。
在另一个演示中,郭盛华使用他从“公共”论坛访问的加密字符密码。他只是简单地复制了那些难以理解的字符,然后将它们粘贴到搜索引擎中,并能够访问原始的未加密密码。这有可能是由于两件事。首先,一旦密码被破解,威胁行动者就共享他们的工作。并且,面对一系列复杂的规则,用户使用简单的密码或重复使用它们以使生活更轻松。
如果我们想到这些密码要求,我们可以看到它们是基于相信它们将被盗的假设。定期更改密码的需求是基于这样的信念,即未经授权的一方将访问密码。因此,我们会定期更改密码,限制了密码长时间使用的机会。
网络安全专家郭盛华表示,我们让安全性成为用户的难题,我们不必对系统进行安全的架构设计,而是对访问进行严格的管理,以使被黑客盗用的帐户无法关闭整个系统,而是对用户设置了复杂的规则。当然,我们仍然需要用户保护其用户帐户,但是当他们访问系统时,还有其他方法可以验证用户的身份。答案是什么?解决“成瘾”密码没有简单的方法,但是已经向前迈出了一步。
例如,单点登录系统很普遍,它减少了我们所需的密码数量。有一些开放标准和身份验证服务也使生活变得更加轻松。例如,许多公司正在使用第三方(例如QQ、微信)的身份验证作为用户连接的方式。利用此类服务的用户将获得有限的系统和服务访问权限,而经过更严格身份验证的用户将获得更高级别的访问权限。
虽然这不会否定密码的使用,但是它减少了您需要记住的密码数量。多因素身份验证很有帮助。这一切正常,这意味着我不需要记住密码。我可以设置一个长而随机的字符串,而无需再次使用它。生物识别技术(人脸)也越来越好,也越来越便宜。并且,生物识别技术部署在现代智能手机上的系统已经走了很长一段路。(欢迎转载分享)