强密码和弱密码并没有什么区别?NIST密码安全标准更新:不再建议密码要求混合大写字母、字符和数字
2017-08-15 13:35
603 查看
作为一名认真负责的小编,每次注册账号设置密码的时候都是最痛苦的,太简单的怕被破解,太难的又记不住。
等你好不容易记住密码,三个月后IT同学过来拍拍你的肩膀,“你的密码到期了,记得改啊……”
目前绝大部分网站对于注册账号的密码强度分为3个等级:弱密码、中密码、强密码。网站会引导用户填写密码的时候混合大写字母、字符和数字的强密码。
但这种密码设置要求来源于美国国家标准和技术协会(NIST)。当年NIST主管Bill Burr撰写了一份名为NIST Special Publication 800-63的文档,建议大家设置密码时混合大写字母、字符和数字,并定期修改。这么成(keng)熟(die)的建议后来被各大媒体广为传播,一时传为美谈。
紧接着国内外网站纷纷响应,吃瓜群众创造了各种各样的花式密码。
单词间隔法:Pa55word!1
古诗转化法:Heartulx1.tong(心有灵犀一点通)
化学方程式:CH4+2O2=CO2+2H2O
键盘顺序法:1qaz@WSX
……
但在今年6月,原作者后悔了……美国国家标准和技术协会(NIST)提供的最新数字身份指南的新版草案中,不再推荐用户使用这一标准,因为研究显示此类标准,并没有什么卵用……
比如形似“Tr0ub4dor&3”这样的密码只需要用标准的破解技术在三天之内就能够破解,而且你很容易在被破解之前就忘掉自己的密码。而一句完全采用英文单词组成的摸不着头脑的短语 “correct horse battery staple”却需要约550年来破解。(如来佛祖的五指山都压不住啦)
而这组词语很容易形成独特的画面,对于人类来说非常容易形成记忆,但对计算机来说堪比天书,使得它很难被破解。
图片来自网络
另外研究显示,频繁的更改密码没有预想的效果,达不到保护密码安全的目的。因为大多数人应对 90 天更改密码要求采取的做法是将现有密码略微修改一下,比如 Pa55word!1 改为 Pa55word!2,完全起不到保护作用,很容易被猜出。
NIST数字身份指南的新版草案作者 Paul Grassi指出,此前的密码安全建议都是在摸索中前进,没有前人的尝试也无法摸索出切实有效的密码建议。所以也不再建议大家密码要求混合大写字母、字符和数字。他认为最重要的是储存的密码必须盐化哈希
MAC 处理。
密码的复杂性对于个人用户来说很重要,但对于提供登录场景的互联网企业来说,风险防控更加重要,它是保护用户账号安全的最后一道防火墙。
即便在用户无意间泄露密码,或密码设置过于简单的情况下,企业能基于用户行为、软硬件环境信息、业务基础信息综合判定用户登录请求的风险程度,避免机器人撞库或者非本人登录。阿里聚安全提供的数据风控功能,能有效对登录场景进行防控,防止刷库撞库、暴力破解、可疑登录等。并提供滑动验证码服务,通过生物特征判定操作计算机的是人还是机器,从而取代传统验证方式。
阿里聚安全 - 数据风控
阿里聚安全的数据风控功能,目前免费试用,欢迎来体验测试!
免费体验地址:http://jaq.alibaba.com/riskcontrol
------------
更多安全热点资讯和知识分享,请关注阿里聚安全的官方博客
等你好不容易记住密码,三个月后IT同学过来拍拍你的肩膀,“你的密码到期了,记得改啊……”
目前绝大部分网站对于注册账号的密码强度分为3个等级:弱密码、中密码、强密码。网站会引导用户填写密码的时候混合大写字母、字符和数字的强密码。
但这种密码设置要求来源于美国国家标准和技术协会(NIST)。当年NIST主管Bill Burr撰写了一份名为NIST Special Publication 800-63的文档,建议大家设置密码时混合大写字母、字符和数字,并定期修改。这么成(keng)熟(die)的建议后来被各大媒体广为传播,一时传为美谈。
紧接着国内外网站纷纷响应,吃瓜群众创造了各种各样的花式密码。
单词间隔法:Pa55word!1
古诗转化法:Heartulx1.tong(心有灵犀一点通)
化学方程式:CH4+2O2=CO2+2H2O
键盘顺序法:1qaz@WSX
……
但在今年6月,原作者后悔了……美国国家标准和技术协会(NIST)提供的最新数字身份指南的新版草案中,不再推荐用户使用这一标准,因为研究显示此类标准,并没有什么卵用……
比如形似“Tr0ub4dor&3”这样的密码只需要用标准的破解技术在三天之内就能够破解,而且你很容易在被破解之前就忘掉自己的密码。而一句完全采用英文单词组成的摸不着头脑的短语 “correct horse battery staple”却需要约550年来破解。(如来佛祖的五指山都压不住啦)
而这组词语很容易形成独特的画面,对于人类来说非常容易形成记忆,但对计算机来说堪比天书,使得它很难被破解。
图片来自网络
另外研究显示,频繁的更改密码没有预想的效果,达不到保护密码安全的目的。因为大多数人应对 90 天更改密码要求采取的做法是将现有密码略微修改一下,比如 Pa55word!1 改为 Pa55word!2,完全起不到保护作用,很容易被猜出。
NIST数字身份指南的新版草案作者 Paul Grassi指出,此前的密码安全建议都是在摸索中前进,没有前人的尝试也无法摸索出切实有效的密码建议。所以也不再建议大家密码要求混合大写字母、字符和数字。他认为最重要的是储存的密码必须盐化哈希
MAC 处理。
密码的复杂性对于个人用户来说很重要,但对于提供登录场景的互联网企业来说,风险防控更加重要,它是保护用户账号安全的最后一道防火墙。
即便在用户无意间泄露密码,或密码设置过于简单的情况下,企业能基于用户行为、软硬件环境信息、业务基础信息综合判定用户登录请求的风险程度,避免机器人撞库或者非本人登录。阿里聚安全提供的数据风控功能,能有效对登录场景进行防控,防止刷库撞库、暴力破解、可疑登录等。并提供滑动验证码服务,通过生物特征判定操作计算机的是人还是机器,从而取代传统验证方式。
阿里聚安全 - 数据风控
阿里聚安全的数据风控功能,目前免费试用,欢迎来体验测试!
免费体验地址:http://jaq.alibaba.com/riskcontrol
------------
更多安全热点资讯和知识分享,请关注阿里聚安全的官方博客
相关文章推荐
- 强密码和弱密码并没有什么区别?NIST密码安全标准更新:不再建议密码要求混合大写字母、字符和数字
- 强密码和弱密码并没有什么区别?NIST密码安全标准更新:不再建议密码要求混合大写字母、字符和数字
- 强密码和弱密码并没有什么区别?NIST密码安全标准更新:不再建议密码要求混合大写字母、字符和数字
- js正则表达式验证密码强度,必须包含数字,大写字母,小写字母,特殊字符四选三
- 有一篇文章,共三行文字,每行有最多80个字符。要求分别统计出其中英文大写字母,小写字母,数字,空格及其他字符
- 【C#基础】输入一个字符,判定它是什么类型的字符(大写字母,小写字母,数字或者其它字符)
- 有一篇文章,共有三行文字,每行有80个字符。要求分别统计出其中英文大写字母、小写字母、数字、空格以及其他字符的个数。
- 7.10 有一篇文章,共有3行文字,每行有80个字符。要求分别统计出其中英文大写字母、小写字母、数字、空格以及其他字符的个数。
- System.Web.Mvc 3.0.0.1 和 3.0.0.0 有什么区别?被 Microsoft ASP.NET MVC 的一次安全更新害惨了!!!
- Windows Server 2003/2008 密码 无法更新密码。为新密码提供的值不符合字符域的长度、复杂性或历史要求。
- 有一篇文章,共有3行文字,每行有10个字符。要求分别统计出其中英文大写字母、小写字母、数字、空格及其它字符的个数
- 密码强度正则表达式 – 必须包含大写字母,小写字母和数字,至少8个字符等
- 安装MSDE2000,提示“为了安全起见,要求使用强 SA 密码。”
- 从终端输入一个字符,比如是F,要求只能输出大写字母。 打印出以下格式: F *FE **FED ***FEDC ****FEDCB *****FEDCBA
- 建议CSDN用5个9的标准要求服务质量
- 正则表达式-匹配密码验证(密码强弱等级,不能匹配中文,匹配数字 字母 字符)
- 【c语言】编写一个程序从标准输入读取字符,并把他们写到标准输出。除了大写字母转换成小写字母之外,其他的原样输出
- exchange2010使用owa更改密码提示密码不符合最低安全要求
- “密码最短长度为7,其中必须包含以下非字母数字字符: 1”错误解决
- 密码最短长度为 7,其中必须包含以下非字母数字字符: 1