加入社区

订阅:www.yunweipai.com/feed

QQ群:
1群:201777608 - 运维综合
2群:526871767 - 运维综合
3群:1689067 - Linux Shell脚本

微博:weibo.com/tektea

微信:yunweipai(或扫描以下二维码)

合作伙伴

小猪动图 - GIF动图素材库_GIF在线工具

你应当定期更改密码吗?

本文由茶话汇-康宇翻译自How to Geek转载请注明出处

image1

“你要定期更改密码” 是一句很常见的对密码安全性的建议,但是这并不一定是个好建议。你不应该大费周章地去定期更改大多数密码——因为它鼓励你去使用弱口令,而且还会浪费你的时间。

不错,确实有些情形你应该定期去改密码,但这应该算作例外而不是规则。告诉普通用户他们应该定期去更改密码就是一个错误。

定期更改密码的缘由

理论上来说定期改密码是个好主意,因为它能保证别人获取不到你的密码去窥探你。

举例来说,如果有人拿到了你的Email的密码,那么他(们)就能定期登录到你Email账户中从而监视你的通讯情况。如果有人获得了你的网银的密码,他(们)就能够查看你的交易记录,或者登录你的账户试图将钱转到他(们)的账户中。如果有人获取到你的Facebook的密码,他(们)就可以以你的身份登录,然后监视你的私人通讯。

理论上来说,定期更改你的密码——或许每隔几个月吧——将会帮助你阻止这些情况发生。即使有人获取到了你的密码,他们也只能有几个月的时间来对你的账户进行恶意访问。

image2

症结所在

更改密码可不是凭空想想这么简单。如果人类有无限的时间和足够的金钱的话,定期更改密码或许会是个不错的注意。实际上,更改密码给人们带来了不小的负担。

定期更改密码让记忆好的密码变得困难。本来你只需要创建一个强口令,然后把记住就可以了,但是现在却要每隔几个月就去试着记忆新的密码。那些被迫去改密码的用户可能只是在原来的密码后面加个数字——比如password1、password2等等这样。

将你某个账户的密码定期更改,每次还要记住新的密码,可不是一件容易的事情。况且我们往往都有很多密码,想象一下不得不定期更改每个密码,还要记住一大堆新的密码的情形吧。

试图将每个网站的密码都设置为一个独一无二的强口令基本是件不可能的任务。这也是为什么我们推荐你使用密码管理器这样的软件的原因。如果你每隔几个月就更改密码的话,最终你将会倾向于使用弱口令并且在不同的网站之间复用它们。事实上,在各个地方都设置一个独一无二的强口令,比定期更改密码重要得多。

image3

为什么更改密码不一定有效?

定期更改密码可能并不如你所想象的那般有效。如果骇客入侵了你的账户,他们通常会尽可能快地利用他们的访问权限进行破坏。如果他们侵入了你的网银账户,他们将会立刻登录并试图转出你的钱,而不是坐以待毙。如果他们侵入了在线购物网站的账户,他们会登录然后试图用你的设置好的信用卡购物。如果他们侵入了你的Email账户,他们就会用你的账户发送垃圾邮件以及进行钓鱼攻击,或者试图利用它重置你在其他站点的密码。如果他们侵入了你的Facebook账户,他们很可能会立刻发送垃圾信息或者对你的朋友进行诈骗。

典型的骇客都不会持有你的密码太长时间或者窥探你。那样无利可图,而骇客恰恰都唯利是图。还有,你也会注意到你的账户被其他人访问了。
定期更改你的密码有时候也是必要的,比如你所有的账户都使用了相同的密码,因为一旦其中一个服务的密码被盗,其他密码也会时不时地泄露。但是与其定期更改这一个密码,你更应该直面问题所在,为各处都设置不同的密码。

image4

什么时候你才想要更改密码?

如果能访问你的账户的某人不是传统意义上的骇客,那么更改密码会有帮助的。例如,我们假设你和你的某个前任共享了你Netflix的账户,你肯定会想要更改你的密码,从而让他们永远不能用你的账户的。又比如说某个与你比较亲近的人获取了你的Email或者Facebook的密码,然后用他获取的密码来监视你。这些情况下你更改密码主要是在阻止这种账户共享或者对你进行监视的行为,而不是在防止世界另一边的某个人入侵你的账户。

定期更改密码对某些工作系统可能也是很有用处的,但是用的时候应该三思。IT管理员不应该强迫用户定期更改密码,除非有个好的理由——用户将会开始使用弱密码,把密码写下来,甚至在两个最爱的密码之间来回切换。

作为对某些事件的回应而去更改密码当然是件好事。更改你在那些曾经易受Heartbleed漏洞攻击现在修复了此漏洞的网站上的账户的密码是个不错的主意。在某个网站的数据库被盗之后,更改密码也是个不错的主意。

如果你在不同的站点之间复用密码,那么如果其中一个账户被盗就把所有账户的密码都改掉也是个不错的做法。但是这是最笨的办法——真正的方法是给每个账户都用不同的密码,而不是定期更改一个所有网站之间共享的密码。

image5

聚焦有益的建议

劝告人们定期更改他们的密码的问题,在于这个建议太没有吸引力了。如果没有密码管理器帮你的话,在各处使用不同的强度足够的密码已经是一个不可能的建议了。双重认证会很有效——因为即使有人偷了你的密码,它也会阻止非法的访问。与其告诉人们定期更改他们的密码,我们更应该传播一些有用的建议,比如“在各处使用不同的密码”——一个大家通常都没有使用的办法。


这并不是唯一一条我们不同意的建议。对于大多数家庭用户来讲,把某些密码写下来其实是个还不坏的主意——它比在各处都用相同的密码强多了。

我们也不是唯一一群反对定期地不分青红皂白地更改密码的人。安全专家Bruce Schneier写了一片文章“为什么定期更改密码不是一个好建议”。不错,是有些时候你想要这么做,但是给普通用户传达“每三个月更改你所有的密码”这样的建议是有害无益的。

转载请注明:运维派 » 你应当定期更改密码吗?

0
3.7k
2
  1. 翻译的不错哦,现在我们给客户提出的密码复杂度要求是:必须包含英文大小写、数字、特殊字符。