強密碼和弱密碼並無什麼區別？NIST密碼安全標準更新：再也不建議密碼要求混合大寫字母、字符和數字

時間 2021-05-12

原文原文鏈接

做爲一名認真負責的小編，每次註冊帳號設置密碼的時候都是最痛苦的，太簡單的怕被破解，太難的又記不住。
等你好不容易記住密碼，三個月後IT同窗過來拍拍你的肩膀，「你的密碼到期了，記得改啊……」

目前絕大部分網站對於註冊帳號的密碼強度分爲3個等級：弱密碼、中密碼、強密碼。網站會引導用戶填寫密碼的時候混合大寫字母、字符和數字的強密碼。

安全

但這種密碼設置要求來源於美國國家標準和技術協會（NIST）。當年NIST主管Bill Burr撰寫了一份名爲NIST Special Publication 800-63的文檔，建議你們設置密碼時混合大寫字母、字符和數字，並按期修改。這麼成（keng）熟（die）的建議後來被各大媒體廣爲傳播，一時傳爲美談。網絡

緊接着國內外網站紛紛響應，吃瓜羣衆創造了各類各樣的花式密碼。
單詞間隔法：Pa55word!1
古詩轉化法：Heartulx1.tong（心有靈犀一點通）
化學方程式：CH4+2O2=CO2+2H2O
鍵盤順序法：1qaz@WSX
……測試

但在今年6月，原做者後悔了……美國國家標準和技術協會（NIST）提供的最新數字身份指南的新版草案中，再也不推薦用戶使用這一標準，由於研究顯示此類標準，並無什麼卵用…… 網站

好比形似「Tr0ub4dor&3」這樣的密碼只須要用標準的破解技術在三天以內就可以破解，並且你很容易在被破解以前就忘掉本身的密碼。而一句徹底採用英文單詞組成的摸不着頭腦的短語「correct horse battery staple」卻須要約550年來破解。（如來佛祖的五指山都壓不住啦）spa

而這組詞語很容易造成獨特的畫面，對於人類來講很是容易造成記憶，但對計算機來講堪比天書，使得它很難被破解。
圖片

圖片來自網絡ci

另外研究顯示，頻繁的更改密碼沒有預想的效果，達不到保護密碼安全的目的。由於大多數人應對 90 天更改密碼要求採起的作法是將現有密碼略微修改一下，好比 Pa55word!1 改成 Pa55word!2，徹底起不到保護做用，很容易被猜出。文檔

NIST數字身份指南的新版草案做者 Paul Grassi指出，此前的密碼安全建議都是在摸索中前進，沒有前人的嘗試也沒法摸索出切實有效的密碼建議。因此也再也不建議你們密碼要求混合大寫字母、字符和數字。他認爲最重要的是儲存的密碼必須鹽化哈希 MAC 處理。get

密碼的複雜性對於我的用戶來講很重要，但對於提供登陸場景的互聯網企業來講，風險防控更加劇要，它是保護用戶帳號安全的最後一道防火牆。博客

即使在用戶無心間泄露密碼，或密碼設置過於簡單的狀況下，企業能基於用戶行爲、軟硬件環境信息、業務基礎信息綜合斷定用戶登陸請求的風險程度，避免機器人撞庫或者非本人登陸。阿里聚安全提供的數據風控功能，能有效對登陸場景進行防控，防止刷庫撞庫、暴力破解、可疑登陸等。並提供滑動驗證碼服務，經過生物特徵斷定操做計算機的是人仍是機器，從而取代傳統驗證方式。

阿里聚安全 - 數據風控

阿里聚安全的數據風控功能，目前免費試用，歡迎來體驗測試！
免費體驗地址：http://jaq.alibaba.com/riskco...

更多安全熱點資訊和知識分享，請關注阿里聚安全的官方博客