近日,美国FBI(联邦调查局)发布了一条推文,建议人们经常更换密码以保证账号安全,却不料遭遇网络专家啪啪打脸。
FBI在Twitter中说:
“购物的季节又到了,网购时请注意账户安全,请使用强密码并经常更换。”
推文刚发出不久,就引来不少安全专家的强烈质疑,一位专家甚至毫不留情地直接抨击负责FBI推文发布的人完全不懂网络安全,他说:“FBI出了一个馊主意,不仅无法帮助人们提高账户安全等级,还会适得其反。”
他的理由则是,“频繁更换密码会增大记忆负担,导致人们倾向于使用更容易记住的密码,这样反而会降低破解难度,增加账户隐患”。他还强调,在近半年以上的时间里已有大量研究报告、研究组织和政府都表明不该频繁更换密码。
那么问题来了,作为普通网民的我们,听谁比较靠谱?
宅客频道发现,网络专家抨击FBI的主要论据是,频繁更换密码会让人们降低密码强度,宅客频道(公众号:宅客频道)编辑由此联想到一个日常工作场景:
宅宅是一名公司员工,刚开始他使用的是ZhaiZhai123456789#$*(强密码),然而公司却要求他每个月都更换一次密码,刚开始他还不厌其烦地更改,随着记忆量越来越大,忘记密码和输错密码的情况出现地越来越频繁,于是他有点不耐烦了,开始缩短密码的长度,直接使用Zhai123456作为密码,又过了几个月,他干脆直接使用了123456作为密码……
网络专家的逻辑是:经常更换密码 → 密码强度降低 → 账号不安全,看出问题了吗?之所以专家认为频繁更换密码会降低账号安全,是因为它会影响用户的密码强度。因此,密码强度才是决定账号安全的关键,改密码或者不改密码只是间接的影响因素,并不太重要。
在“改密码还是不改密码”的问题上,宅客频道(公众号:宅客频道)记者采访了国内知名网络安全知识学习网站i春秋的安全专家幻泉。他表示:
经常更换密码的作用主要在于:
1.减少密码泄露造成的影响
当一个网站数据库被拖库,黑客盗取用户账号密码后可能不会第一时间去使用,而是经过转手倒卖,如果在这期间你恰好更换了密码,就可以逃过一劫。此外,如果你曾经将账号密码借给别人用,那么定期修改密码同样有助于降低密码泄露的风险。
2.避免针对的长期破解
这种情况比较少见,但如果真的遇到毅力超强的攻击者,坚持对你的密码进行长期穷举(数周或者数月),那么定期修改密码会让攻击者无法判断密码是否被穷举,比如000到999,你原来密码是666,人家穷举到123的时候,你突然把密码改成100了……
幻泉同时还强调,“虽然经常更改密码确实有助于提高安全性,但不太符合实际情况,人不可能闲着没事儿每个网站每周都要更新不一样的密码,除非是组织强制要求个人定期修改密码,但那样的话久而久之确实会让用户降低密码的强度。对于日常个人使用密码,就是把重要网站的密码设置的复杂一点,而且和普通平台的账号密码区分开(不要用同一套),就基本满足日常安全需求了。”
在宅客频道(公众号:宅客频道)看来,如果不结合场景而直接得出“经常改密码不安全”或是“经常改密码更安全”的结论,难免有误导网民之嫌。FBI在推文中提出的建议,其实就是从个人角度出发,主动修改密码,并且在修改密码时不降低密码复杂度,确实有助于提高账号安全水准,而网络专家提出的“不应该频繁修改密码”的结论,则更多是基于对组织和企业的研究而得出来的。
因此,个人账号密码改不改需要根据自身情况而定,但企业和政府组织最好不要再强迫员工频繁修改密码了,否则真的有可能适得其反!