美国联邦贸易委员会(FTC)的研究人员发现,强迫电脑用户更改密码并不一定能提高安全性,反而可能弊大于利。
FTC的首席技术专家根据罗丽·克兰纳(Lorrie Cranor)称,强迫用户定期更改密码“可能实际上弊大于利”。这个话题已经争论了几十年,但克兰纳是在经过认真的研究之后得出上述结论的。
一个有趣的发现是,如果研究人员破解了一个密码,他们往往在很短的时间里就能猜出用户的新密码,原因是用户在被迫修改密码时往往只在原密码的基础上作细小的改动。例如,用户会将“secret10jan”改为“secret10mar”。
此外,克兰纳指出:“还有一个通过访谈和调查研究得到的证据表明,如果用户知道他们将不得不定期更改密码,他们往往不会在一开始就设置安全度很强的密码,而且可能会把密码写下来。”
如果用户被要求设置一个使用十年的密码,他们就可能会设置一个安全度很强同时也难以记住的密码。如果他们被要求设置只能使用三个月的密码,他们就更有可能设置相对简单因而也容易破解的密码。
相比强迫用户更改密码,更好的做法是让用户使用较长(一般来说安全度也较高)的密码,并迫使他们使用一些非字母字符。要提高用户的密码安全性,教育是比强迫才是更好的方法。
当然,对于重要的系统,最好是采用某种形式的双因素身份验证。即使最好的用户生成口令可以抵挡当今先进的破解技术,它们仍然很容易受到肩窥、网络钓鱼和社交工程攻击的威胁。
更多阅读:
