qazxc159873 发布于九月 26, 2016 分享 发布于九月 26, 2016 · 只看该作者 美國專家打破迷思:經常換密碼反而不安全 http://technews.tw/2016/08/09/freuent-password-changes-may-not-secure-ftc-technologist-says/ 經常換密碼反而不安全?[align=left][backcolor=rgb(236, 239, 242)]「請定期更換密碼,避免重複使用舊密碼。」的提醒相信大家在不少網站的保護帳號安全建議中看過,不知你又有沒有聽取建議養成定期更換密碼的習慣?美國聯邦貿易委員會(Federal Trade Commission,FTC)首席技術專家 Lorrie Cranor 近日在出席於拉斯維加斯舉辦的 PasswordsCon 2016 時就分享了她的看法。[/backcolor][/align][align=left][backcolor=rgb(236, 239, 242)]Lorrie Cranor 指不少人認為定期更換密碼有助提升帳號安全,包括她目前任職的 FTC,就曾於年初在官方 ** 上提醒民眾鼓勵身邊的人定期更換密碼,讓密碼更長、複雜和獨特。究其原因,是相信能讓隱藏在組織機構網路內未被發現的攻擊者,無法再透過舊密碼存取系統,但有研究就顯示這樣反而會讓人們傾向使用較弱且易被猜到的密碼。[/backcolor][/align] [align=left][backcolor=rgb(236, 239, 242)]Lorrie 引述一項 2010 年來自北卡羅來納大學教堂山分校的研究,研究以該校 10,000 個停用帳戶及其密碼資料做分析,這些帳號均來自大學員工、學生及設施且被要求每 3 個月更換一次密碼,因此研究資料中包括帳號所更換過的多個密碼,有助了解和分析更換定期密碼的規定對帳號資安程度有何影響。[/backcolor][/align][align=left][backcolor=rgb(236, 239, 242)]研究數據顯示,當用戶被要求更改密碼時會有共通的習慣,就是傾向對之前的密碼稍做修改。例如一個類似「tarheels#1」格式的密碼,通常第一次會更改為 「tArheels#1」,接下來就會改做「taRheels#1」如此類推;又或者將「tarheels#1」改成「tarheels#11」、「tarheels#111」,甚至是 「tarheels#2」、「tarheels#3」等。[/backcolor][/align][align=left][backcolor=rgb(236, 239, 242)]Lorrie 表示,UNC 的研究人員亦指出如果用戶被要求每 90 天更換一次密碼,他們會傾向使用有規律的變形密碼:即在舊密碼的基礎上,根據特定規則稍做修改,就生出新的密碼。然而,這種方法雖然方便用戶記憶,但亦讓密碼容易被猜到,尤其是在駭客已掌握舊密碼的情況下。[/backcolor][/align][align=left][backcolor=rgb(236, 239, 242)]此外,UNC 的研究人員亦利用研究發現的密碼變形規律開發出一套演算法,能準確預測用戶會如何改變密碼,並進行模擬破解和網路攻擊,發現有 17% 的密碼可於 5 次嘗試內被演算法破解。另外研究人員也進行離線攻擊測試,利用高效能電腦做運算分析,41% 密碼更在 3 秒內便可成功破解。[/backcolor][/align][align=left][backcolor=rgb(236, 239, 242)]安全專家 Bruce Schneier 也同意定期更換密碼並非好的安全建議,並認為這反而會鼓勵用戶使用弱密碼。同時他在其個人網誌中給出安全密碼的建議。[/backcolor][/align]------------------------------------------------------------------- 看到這裡,最近正想把自己全部帳號換密碼 想說算了,懶癌又發作了 諸位真的會非常"勤奮"去換密碼?? 順便問一下,應該沒有人記性這麼好吧 都設置不一樣的密碼。。。。 良心建議 想設置簡短又難破解的密碼 可在密碼中插入特殊符號 怕記不起來請用紙寫下來 要用能一眼就能分辨的符號(比如@#$%......等等) 不要用易混淆符號(比如。,.,'等等) 曾經因為這樣被坑的我{:7_515:} 链接到点评
loyd 发布于九月 26, 2016 分享 发布于九月 26, 2016 · 只看该作者 前提是黑客知道之前的密码,嘛。只要安全工作做得好,还是没有危险。只是定期更换密码在实际操作中对安全性的提升很有限而已,并不是降低了。 链接到点评
qazxc159873 发布于九月 26, 2016 作者 分享 发布于九月 26, 2016 · 只看该作者 loyd 发表于 2016-9-26 20:40前提是黑客知道之前的密码,嘛。只要安全工作做得好,还是没有危险。只是定期更换密码在实际操作中对安全性 ... 不過就算不知道 人還是很容易用類似的密碼(長期下來) 也不能保證盜號何時發生 想乾脆點就""刻意""設置複雜一點的 前提是要很勤奮。。。。 链接到点评
qazxc159873 发布于九月 26, 2016 作者 分享 发布于九月 26, 2016 · 只看该作者 Dzero 发表于 2016-9-26 20:41好久不見www 嗯……密碼的話更傾向於象徵性意義呢~ 喔喔~好久不見~最近一直忙著玩沒時間上線{:7_536:} 链接到点评
Dzero 发布于九月 26, 2016 分享 发布于九月 26, 2016 · 只看该作者 qazxc159873 发表于 2016-9-26 20:43喔喔~好久不見~ 最近一直忙著玩沒時間上線 啊啦啦?玩遊戲什麼的嗎~? 链接到点评
qazxc159873 发布于九月 26, 2016 作者 分享 发布于九月 26, 2016 · 只看该作者 Dzero 发表于 2016-9-26 20:46啊啦啦?玩遊戲什麼的嗎~? 是指真正出去玩喔{:7_503:}不過後半段根本廢人 每天躺床上 連吃飯都懶了{:7_503:} 链接到点评
Dzero 发布于九月 26, 2016 分享 发布于九月 26, 2016 · 只看该作者 qazxc159873 发表于 2016-9-26 20:52是指真正出去玩喔 不過後半段根本廢人 每天躺床上 哦哦~不錯呢~去哪裡旅遊嗎? 链接到点评
肾亏谷谷主 发布于九月 26, 2016 分享 发布于九月 26, 2016 · 只看该作者 这时候我就想用逼乎的一段话:“脱离XX谈XX就是耍流氓” 说句难听的,这标题让我想起了各种媒体,以及它们各种耸人听闻的标题。 首先要指出一点,这是建立在改密码者懒得改密码(前提)的情况下才得出的结论的。 满足这个条件,比如说我都是000000,000001,000002……这样的,就算能1秒改65535次,密码本身还是很脆弱的。 排除外部因素,密码本身的强度只取决于它的结构和长度,其中长度最为重要。这方面我不班门弄斧了,大学的信息安全课上应该会讲到。 一般来说密码长度在16位的时候,只要不被社会工程学之类的,就算是相当安全的级别了 链接到点评
qazxc159873 发布于九月 26, 2016 作者 分享 发布于九月 26, 2016 · 只看该作者 Dzero 发表于 2016-9-26 20:57哦哦~不錯呢~去哪裡旅遊嗎? 之前跑去泰國和日本想說還有要去別的地方 結果沒錢了{:7_515:} 链接到点评
qazxc159873 发布于九月 26, 2016 作者 分享 发布于九月 26, 2016 · 只看该作者 天下暮雪 发表于 2016-9-26 21:03这时候我就想用逼乎的一段话:“脱离XX谈XX就是耍流氓” 说句难听的,这标题让我想起了各种媒体,以及它们 ... 16位??暴力法能拖很久嗎? 链接到点评
肾亏谷谷主 发布于九月 26, 2016 分享 发布于九月 26, 2016 · 只看该作者 qazxc159873 发表于 2016-9-26 21:0816位?? 暴力法能拖很久嗎? 能啊,只要组合不是太过离谱就行像下面这种纯数字16位,暴力三天就行。 http://p1.bqimg.com/4851/e5fa7ec28a67e402.png[/img] 如果是如下字母8位+数字8位(还是12345678)组合的,暴力都要六百万年 http://p1.bpimg.com/4851/6d59a514e3861203.png[/img] 所以只要结构合理,16位基本被暴力是很难的 链接到点评
Dzero 发布于九月 26, 2016 分享 发布于九月 26, 2016 · 只看该作者 qazxc159873 发表于 2016-9-26 21:06之前跑去泰國和日本 想說還有要去別的地方 結果沒錢了 東南亞紀行……?然後回來就突然想改密碼嗎www 链接到点评
推荐贴