雖然Google和微軟等一些組織想幹掉密碼,但考慮到它是幾乎所有在線服務大量使用的傳統認證形式,這並不是一件容易的事。早在2016年,國家網絡安全中心(NCSC)–這是一個提供網絡安全指導的英國政府組織,他們指導人們在網上註冊時選擇三個隨機詞的組合作為密碼,而不是想出或重複使用一個複雜的密碼。
這個話題引發了相當大的爭論,現在,該組織對其給出這一建議的原因作了更多說明。
![T`N{_GW2]I7W3QY%MX}Y7R8.png](https://dailyclipper.s3.ap-northeast-1.amazonaws.com/wp-content/uploads/2021/08/20210808_610fe95fbaecf.png)
![T`N{_GW2]I7W3QY%MX}Y7R8.png](https://dailyclipper.net/wp-content/themes/justnews/themer/assets/images/lazy.png)
英國國家網絡安全中心強調,大多數網站都強制要求使用複雜的密碼,通常包括多個字符和符號的組合。這反倒使惡意行為者的工作更加容易,因為他們可以利用這些規則和現有密碼模式的知識來優化暴力攻擊。這也意味着人們在多個網站上重複使用相同的密碼或其變體,因為創建和記住眾多複雜的密碼是很乏味的。這種行為的驅動力還在於認為在線或離線存儲密碼是有風險的。雖然NCSC承認,無論哪種存儲方式,密碼都有可能被盜,但在安全存儲解決方案中,這種可能性相當低,而且好處通常大於風險。
在這種情況下,該組織認為,最好是使用三個隨機詞的組合。此舉的一些原因包括:密碼的長度增加,它作為一個易於理解的標準被採用,它在當前的技術領域的新穎性,以及它的實用性。
國家安全委員會還回應了自它最初為個人和工作用途提供這一指導以來所提出的一些擔憂。一些人聲稱,猜測”三個隨機詞”的搜索算法已經存在。該組織聲稱,在其提出的技術下,人們仍然會通過多種個性化的方式生成密碼,這意味着攻擊者可能不得不使用幾種算法來找出有用的密碼。相比之下,鑒於目前大多數網站對密碼執行的是一套固定的詞彙規則,攻擊者更容易使用單一算法來猜測密碼。
對於這種技術會導緻密碼變弱的說法,NCSC有如下回應:
有許多常見的密碼都符合複雜性要求。例如,”Pa55word!”可能符合一個網站或服務的複雜性要求,但卻是一個糟糕的密碼,因為它很容易被猜到。同樣,有一些獨特的複雜密碼(使用三個隨機詞生成)也不會被允許。單純的複雜性要求是一種鈍器,為了更有針對性地清除弱口令,NCSC建議將最低長度要求與密碼拒絕列表的應用相結合。
最後,英國國家網絡安全中心指出,即使是三個隨機詞作為你的密碼也不是萬全之策。它強烈建議使用安全的解決方案來存儲用這種技術生成的密碼,並希望在這一領域的密碼多樣性也被最小化之前,減少對密碼的依賴這一更廣泛的戰略能夠取得成功–目前看似複雜的密碼也存在這樣的問題。