原标题:英国政府希望国民尝试使用由三个随机单词组成的密码 来源:cnBeta.COM
虽然Google和微软等一些组织想干掉密码,但考虑到它是几乎所有在线服务大量使用的传统认证形式,这并不是一件容易的事。早在2016年,国家网络安全中心(NCSC)--这是一个提供网络安全指导的英国政府组织,他们指导人们在网上注册时选择三个随机词的组合作为密码,而不是想出或重复使用一个复杂的密码。
这个话题引发了相当大的争论,现在,该组织对其给出这一建议的原因作了更多说明。
英国国家网络安全中心强调,大多数网站都强制要求使用复杂的密码,通常包括多个字符和符号的组合。这反倒使恶意行为者的工作更加容易,因为他们可以利用这些规则和现有密码模式的知识来优化暴力攻击。这也意味着人们在多个网站上重复使用相同的密码或其变体,因为创建和记住众多复杂的密码是很乏味的。这种行为的驱动力还在于认为在线或离线存储密码是有风险的。虽然NCSC承认,无论哪种存储方式,密码都有可能被盗,但在安全存储解决方案中,这种可能性相当低,而且好处通常大于风险。
在这种情况下,该组织认为,最好是使用三个随机词的组合。此举的一些原因包括:密码的长度增加,它作为一个易于理解的标准被采用,它在当前的技术领域的新颖性,以及它的实用性。
国家安全委员会还回应了自它最初为个人和工作用途提供这一指导以来所提出的一些担忧。一些人声称,猜测"三个随机词"的搜索算法已经存在。该组织声称,在其提出的技术下,人们仍然会通过多种个性化的方式生成密码,这意味着攻击者可能不得不使用几种算法来找出有用的密码。相比之下,鉴于目前大多数网站对密码执行的是一套固定的词汇规则,攻击者更容易使用单一算法来猜测密码。
对于这种技术会导致密码变弱的说法,NCSC有如下回应:
有许多常见的密码都符合复杂性要求。例如,"Pa55word!"可能符合一个网站或服务的复杂性要求,但却是一个糟糕的密码,因为它很容易被猜到。同样,有一些独特的复杂密码(使用三个随机词生成)也不会被允许。单纯的复杂性要求是一种钝器,为了更有针对性地清除弱口令,NCSC建议将最低长度要求与密码拒绝列表的应用相结合。
最后,英国国家网络安全中心指出,即使是三个随机词作为你的密码也不是万全之策。它强烈建议使用安全的解决方案来存储用这种技术生成的密码,并希望在这一领域的密码多样性也被最小化之前,减少对密码的依赖这一更广泛的战略能够取得成功--目前看似复杂的密码也存在这样的问题。