摘要:但這種密碼設置要求來源于美國國家標準和技術協會。當年主管撰寫了一份名為的文檔,建議大家設置密碼時混合大寫字母字符和數字,并定期修改。所以也不再建議大家密碼要求混合大寫字母字符和數字。
作為一名認真負責的小編,每次注冊賬號設置密碼的時候都是最痛苦的,太簡單的怕被破解,太難的又記不住。
等你好不容易記住密碼,三個月后IT同學過來拍拍你的肩膀,“你的密碼到期了,記得改啊……”
目前絕大部分網站對于注冊賬號的密碼強度分為3個等級:弱密碼、中密碼、強密碼。網站會引導用戶填寫密碼的時候混合大寫字母、字符和數字的強密碼。
但這種密碼設置要求來源于美國國家標準和技術協會(NIST)。當年NIST主管Bill Burr撰寫了一份名為NIST Special Publication 800-63的文檔,建議大家設置密碼時混合大寫字母、字符和數字,并定期修改。這么成(keng)熟(die)的建議后來被各大媒體廣為傳播,一時傳為美談。
緊接著國內外網站紛紛響應,吃瓜群眾創造了各種各樣的花式密碼。
單詞間隔法:Pa55word!1
古詩轉化法:Heartulx1.tong(心有靈犀一點通)
化學方程式:CH4+2O2=CO2+2H2O
鍵盤順序法:1qaz@WSX
……
但在今年6月,原作者后悔了……美國國家標準和技術協會(NIST)提供的最新數字身份指南的新版草案中,不再推薦用戶使用這一標準,因為研究顯示此類標準,并沒有什么卵用……
比如形似“Tr0ub4dor&3”這樣的密碼只需要用標準的破解技術在三天之內就能夠破解,而且你很容易在被破解之前就忘掉自己的密碼。而一句完全采用英文單詞組成的摸不著頭腦的短語 “correct horse battery staple”卻需要約550年來破解。(如來佛祖的五指山都壓不住啦)
而這組詞語很容易形成獨特的畫面,對于人類來說非常容易形成記憶,但對計算機來說堪比天書,使得它很難被破解。
圖片來自網絡
另外研究顯示,頻繁的更改密碼沒有預想的效果,達不到保護密碼安全的目的。因為大多數人應對 90 天更改密碼要求采取的做法是將現有密碼略微修改一下,比如 Pa55word!1 改為 Pa55word!2,完全起不到保護作用,很容易被猜出。
NIST數字身份指南的新版草案作者 Paul Grassi指出,此前的密碼安全建議都是在摸索中前進,沒有前人的嘗試也無法摸索出切實有效的密碼建議。所以也不再建議大家密碼要求混合大寫字母、字符和數字。他認為最重要的是儲存的密碼必須鹽化哈希 MAC 處理。
密碼的復雜性對于個人用戶來說很重要,但對于提供登錄場景的互聯網企業來說,風險防控更加重要,它是保護用戶賬號安全的最后一道防火墻。
即便在用戶無意間泄露密碼,或密碼設置過于簡單的情況下,企業能基于用戶行為、軟硬件環境信息、業務基礎信息綜合判定用戶登錄請求的風險程度,避免機器人撞庫或者非本人登錄。阿里聚安全提供的數據風控功能,能有效對登錄場景進行防控,防止刷庫撞庫、暴力破解、可疑登錄等。并提供滑動驗證碼服務,通過生物特征判定操作計算機的是人還是機器,從而取代傳統驗證方式。
阿里聚安全 - 數據風控
阿里聚安全的數據風控功能,目前免費試用,歡迎來體驗測試!
免費體驗地址:http://jaq.alibaba.com/riskco...
更多安全熱點資訊和知識分享,請關注阿里聚安全的官方博客
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/11265.html
摘要:方案簡單方案算法通過密碼構成分析,結合權重分派,統計得出密碼強度得分。 簡言 用正則表達式做用戶密碼強度的通過性判定,過于簡單粗暴,不但用戶體驗差,而且用戶帳號安全性也差。那么如何準確評價用戶密碼的強度,保護用戶帳號安全呢?本文分析介紹了幾種基于規則評分的密碼強度檢測算法,并給出了相應的演示程序。大家可以根據自己項目安全性需要,做最適合于自己的方案選擇。 showImg(http://...
首發地址:我的個人博客,轉載請注明出處。 md5安全嗎? 經過各種安全事件后,很多系統在存放密碼的時候不會直接存放明文密碼了,大都改成了存放了 md5 加密(hash)后的密碼,可是這樣真的安全嗎? 這兒有個腳本來測試下MD5的速度, 測試結果: [root@f4d5945f1d7c tools]# php speed-of-md5.php Array ( [rounds] => 100 ...
摘要:一背景團隊最近頻繁遭受網絡攻擊,引起了技術負責人的重視,筆者在團隊中相對來說更懂安全,因此花了點時間編輯了一份安全開發自檢清單,覺得應該也有不少讀者有需要,所以將其分享出來。 一、背景 團隊最近頻繁遭受網絡攻擊,引起了技術負責人的重視,筆者在團隊中相對來說更懂安全,因此花了點時間編輯了一份安全開發自檢清單,覺得應該也有不少讀者有需要,所以將其分享出來。 二、編碼安全 2.1 輸入驗證 ...
摘要:一背景團隊最近頻繁遭受網絡攻擊,引起了技術負責人的重視,筆者在團隊中相對來說更懂安全,因此花了點時間編輯了一份安全開發自檢清單,覺得應該也有不少讀者有需要,所以將其分享出來。 一、背景 團隊最近頻繁遭受網絡攻擊,引起了技術負責人的重視,筆者在團隊中相對來說更懂安全,因此花了點時間編輯了一份安全開發自檢清單,覺得應該也有不少讀者有需要,所以將其分享出來。 二、編碼安全 2.1 輸入驗證 ...
閱讀 3019·2021-11-24 10:21
閱讀 1588·2021-10-11 10:57
閱讀 2803·2021-09-22 15:24
閱讀 2659·2021-09-22 14:58
閱讀 2331·2019-08-30 13:16
閱讀 3478·2019-08-29 13:05
閱讀 3411·2019-08-29 12:14
閱讀 3441·2019-08-27 10:55