適得其反?定期換密碼更容易被破解

Source: http://zh.cn.nikkei.com/industry ... 18626-20160311.html

美國聯邦貿易委員會(FTC)和美國大學等機構實施的調查發現,企業要求員工必須頻繁更換個人電腦密碼後,安全性反而會降低。因為員工容易使用可推測的密碼,美國聯邦貿易委員會的技術負責人Laurey Kroner表示,「強制變更密碼的必要性需要重新考慮」。

  美國卡內基梅隆大學等機構的調查數據顯示,認為頻繁變更密碼很麻煩的用戶比沒有這種想法的人,更容易被人推測出所用密碼。Kroner表示,「很多人在密碼中會使用變更密碼時的年份和月份數字」。

  針對每3個月必須變更一次密碼的學生們實施的調查顯示,大部分學生只是替換了此前密碼的數字和字母。據稱,41%的密碼可通過破解軟體在3秒內推測出來。

  人們一直認為,履行密碼變更義務是為了防止密碼被盜和信息外漏。但Kroner表示,「並不像想像的那麼有好處,通過近幾年的研究發現,造成的反效果卻很大」。

  美國大學的研究者建議,應停止定期變更密碼的規定,而是應該向「二次認證」(向個人手機發送一次性驗證碼)和指紋等「生物特徵認證」方向轉變。


    Source:

    美國聯邦貿易委員會(FTC)和美國大學等機構實施的調查發現,企業要求員工必須頻繁更換個人電腦 ...
    toylet 發表於 2016-3-13 03:08

    真,我都成日用日期嚟做密碼,我都覺得唔安全

    via HKEPC Reader for Android

    TOP

    定期換密碼係好  但經常要換反而會用一D比較易記密碼  有時改到自己都唔記得  要估返轉頭  只會愈改愈簡單

    TOP

    如果每個月都要更換密碼, 密碼中帶有月份是常識吧

    TOP

    我公司8成人個密碼都係以ABC123 或 QWE123呢個方式改

    TOP

    信息論角度睇,定期換密碼本來就無用
    因為只要強度一樣(如幾多位隨機英數),就一樣難撞

    除非有人已經破解左,又無痕跡發覺到
    但就算定期換密碼,都只可令被盜密碼失效,不能預防
    搞咁麻煩不如由server主動截住由可疑地點的登入,或者回報返件事畀人知
    咁users就可以專注記一個夠強的密碼

    TOP

    回覆 1# toylet


        呢篇文章可信性: 低
    係Google 搵FTC + Laurey Kroner = 得大陸網報導
    係Google 搵Federal Trade Commission +Laurey Kroner = 0搜尋結果
    兩間大學都冇講研究者身份

    (據稱,41%的密碼可通過破解軟體在3秒內推測出來)
    邊個稱??
    41%的密碼可通過破解軟體在3秒內推測出來 <-  前題係已經偷曬人D個人資料, 用果D資料組合黎推測
    仲要人地個密碼真係用個人資料組成




    https://www.google.com.hk/search ... ..0.0.0.__JblLxh7c4
    https://www.google.com.hk/search ... ..0.0.0.cPxTdNvkpyk

    TOP

    我順住落: abcd1234, efgh5678

    TOP

    set一組超複雜密碼抄底貼響Mon邊

    TOP

    長密碼好過複雜密碼
    其實 (32+1) 33 個 0 或者 (64+1) 65 個 0
    如果質疑全零太簡單
    有 pattern 既易記亦未嘗不可
    最緊要長
    就可以撞絕大部份 brute force attack

    TOP