联邦调查局(FBI)曾建议用户最好改用 15 字元以上的密词(passphrase)取代复杂的密码(passward),并指网站不应因用户输入数次错误密码就锁定账号。
现在许多网站都开始要求用户设定复杂的密码,像是强制要求有大、小写英文字母、数字及特殊符号等,但美国标准与科技研究院(NIST)则认为,密码的长度比复杂度更重要。
波特兰 FBI 依据 NIST 的理论,建议企业 IT 人员或一般用户,与其使用复杂的短密码(password),应该改用更长的密词(passphrase)。密词最好由几个字词组成,长度最少 15 个字元,但不需要有大、小写或特殊符号。他们指,超长密词不但比密码方便记忆,且增加破解难度。例如 VoicesProtected2020WeAre 就是够强的密词,若能加入数个不相干的字更好,如 DirectorMonthLearnTruck。
FBI 建议,应只在网络遭骇时,才要求用户变更密码,而不应再实施账号密码输入几次就锁定的政策,否则骇客可能故意发动机器人攻击,反让用户被锁住而无法使用电子邮件等账号。
- Oregon FBI Tech Tuesday: Building a Digital Defense with Passwords
(本文由 Unwire HK 授权转载;首图来源:pixabay)
延伸阅读:
- 骇客伪装成 WHO 以电邮骗取个资
- 伊朗报复性网络攻击升温! 伊朗骇客对美国电网发动大规模“密码喷洒”攻击
