您的位置:首页 >访谈 >

Sophos安全研究人员说,不需要频繁的密码重置

我们经常发现人们会提供 “定期更改密码” 的建议,以避免因数据泄露而引起的麻烦。但是它的效果如何,您真的应该这样做吗?Sophos的首席研究科学家paul Ducklin阐明了此事,并分享了有关密码和帐户安全的一些技巧。

据说经常更改密码可以减少密码被破坏时暴露的时间,从而使您更安全。但是,这在行话中被称为密码轮换,这正是它变成的,用户只需循环浏览他们以前使用过的密码列表,Ducklin说。

虽然大多数应用程序坚持认为您的新密码不应该与旧密码相同,但Ducklin表示,用户很快就学会了如何通过做出一些微小的差异来摆脱每个应用程序或服务的不同密码,这些差异仍然算作更改。

你应该什么时候更改密码?

Ducklin并没有暗示更改密码没有好处,但他坚持认为用户只有在有理由的情况下才应该更改密码。“无论如何,如果你愿意,随时随地更改你的密码 -- 如果你使用密码管理器,就很容易做到这一点,” 他说。

他补充说: “但你唯一应该感到有必要更改密码的时候是有明确和明显的理由这样做的时候,那就是如果你认为 -- 或者更糟糕的是,知道 -- 它可能已经被泄露了。”

Ducklin说,幸运的是,在许多或最近的数据泄露中,身份验证数据被盗,骗子最终并没有得到您的实际密码以及您的登录名。他说,密码通常以散列的形式存储,这要求骗子首先通过尝试一长串猜测来破解您的密码,直到找到与您的密码哈希匹配的密码。

另请阅读WhatsApp的 “点击聊天” 链接,不再在Google上; 但这是保护您的电话号码的方法

“简单地说,你的密码越长,越复杂,骗子破解它的时间就越长,” 他说。“他们首先尝试最明显的密码,所以123456可能是他们为每个用户尝试的第一个密码; pa55word!可能是他们名单上的第100名; 但是他们不太可能在几天,几个月甚至几年的时间里尝试VFRHFMNOLR5LAIVGDOW5UZRT。”

“换句话说,如果服务提供商通知您您的密码哈希是由骗子获得的,那么如果您在骗子开始破解之前更改密码,您将保持安全。即使漏洞发生在几周或几个月前,你可能仍然处于一个很好的位置,可以击败骗子,假设你一开始就明智地选择了 -- 如果你使用密码管理器,就很容易做到这一点。“

发生违规时,不要忘记重置密码

根据美国卡内基梅隆大学 (Carnegie Mellon University) 发表的一篇论文Ducklin的说法,标题为 (如何) 人们在违规后更改密码?-建议即使在被告知他们的密码已被泄露之后,我们中的许多人也不会很快更改密码。

Sophos的主要研究科学家建议在有正当理由更改密码时不要延迟密码重置过程。Ducklin还建议不要走捷径。“骗子会发现你使用的任何技巧或模式,以使你的密码不同,但足够相似,容易记住。如果您有Facebook的u64b2vqtn5-fb和Twitter的u64b2vqtn5-tw,那么骗子会轻松找出您其余的密码。”他说。

快递技术公司现在正在电报上。单击此处加入我们的频道 (@ expressstechnology),并随时了解最新的科技新闻

“不要认为你是不可战胜的。骗子可能不会破解你的密码,如果它是,但为什么要冒他们可能的风险呢?“达克林说。他还建议将两因素身份验证仅用作第二因素,而不是借口使用琐碎的密码或在任何地方使用相同的密码。

相关推荐

猜你喜欢

特别关注