如何创建一个更好的密码
编者按:黑客将继续寻找新的方法来智胜他们的目标, in response, 在保护我们自己和我们的组织方面,我们必须保持警惕. 密码的强度是我们努力阻止网络攻击和数据泄露的关键. 本文最初发表于2017年. 然而,这个信息和以往一样重要和有价值. 现在,让我们改进我们的密码练习!
想知道是谁发明了今天的密码协议吗? 想想我们都知道的规则 love 容忍……比如使用特殊字符, 定期修改密码, 合并不规则资本化, 确保包括至少一个数字,谁提出了这些标准,他们是如何确定其有效性的?
请打鼓
那就是国家标准与技术研究所.
该组织在发布“NIST特别出版物800-63”时开创了先例, 附录A,早在2003年. 正是在那个时候,这些出版物中列出的安全要求成为了当今数字身份指南的标准问题. In retrospect, Bill Burr, 当时的NIST经理, 承认2003年文件的大部分内容多少有些误导.
2017年,几位著名的安全专家试图修改该文件. 这个新版本有效地重写了定义安全密码的“正确”方法的规则.
更聪明地思考,而不是更难思考
As it turns out, 伯尔和他比较靠谱的赌博软件们一直在建议使用实际上让人类更难记住的密码, 但更容易被电脑破解. 这些疯狂的密码组合表面上看起来似乎很安全, 但大多数人最终都使用了同样的技术——这使得黑客很容易预测它们,也很容易被算法攻击.
选择长期的关系
说到定期更新密码, 专家们现在告诉我们,每90天更换一次密码是一个糟糕的主意. 这几乎迫使用户设置易于破解的密码. 当提示更改密码时, 人们往往变得懒惰(令人震惊),只是为了记住它而稍微改变他们现有的密码.e., P@$$W0rd123! to P@$$W0rd456!).
Listen to episode 169,“企业的网络安全作战计划”,在Rea & Associates的获奖播客, 不适合在Rea电台播放,由保罗·休根伯格三世主演.
新密码最佳实践
而不是使用NIST原始文档中传递的密码协议, 一定要采用一种密码策略,这种策略实际上是为了保护你的敏感数据不被黑客窃取.
- 设置更长的密码 省略特殊字符和数字(除非网站要求). 试图记住疯狂的组合并不能帮助您解决安全问题,而且会使密码更难记住.
- Instead, 使用带标点和空格的短语 as passwords. If you can, 让句子变得毫无意义,但却令人难忘, 这将使系统几乎不可能有意义. 例如,根据专家的说法,“Cp@4m3!很可能在三天内被黑. “愚蠢的纽扣眼喝柠檬水,写成一个短语, 另一方面, 可能要550年才能破解.
- 忘记更新密码吧 every 90 days. 除非您知道密码很弱或密码是自动发出的, 还是不要管它吧.
对于那些使用密码管理器在飞行中生成加密安全密码的人, 你基本上还是清白的. 然而,拥有一个难以破解的主密码仍然很重要. 使用新的指导方针来设计密码,真正保护你的数据安全.
寻找更多的方法来保护你的公司免受网络犯罪? Email Rea & Associates 今天我们来采访一位网络安全专家.
By 特拉维斯·斯特朗,CISA (Wooster, OH)