定期更換密碼真的更安全嗎?
是否需要按照一定的準則更換?
比如更複雜,可是這樣的話隨著時間推移密碼不就可能長得令人無法忍受? 或是在原來的複雜程度(相同的字符集,位數)上改變?可這樣你如何得知所做的更變是使你遠離了解密者的槍口還是靠近了(呃,不太會表達),在我看來從概率上說應該跟不更改是一樣的吧? 至於變得更簡單就更不用說了================================可能是我沒表達清楚吧
我只是想單純討論一下定期更換密碼是否真的能增加破解難度還是只是無用功,無關實際操作
不重要的不需要經常更換重要的的確有必須經常換我所謂的重要的 是如果別人獲取了會對別人有利的內容資料。
為什麼需要定期修改密碼?按照附文的解釋,適用場景是這樣的:
你的密碼已經被人盜取,獲得你密碼的人會時常登入你的帳號(同時想辦法不讓你察覺),監控你的活動。
如果你每隔一段時間就修改密碼,那麼盜取你密碼的人頂多只能在一段時間內監控你的帳戶活動,不能一直監控。
現實中這種情形似乎不常見。如果你不認為你的密碼過去曾經有被盜取的可能性,那就沒必要經常修改。
但如果你的密碼有曾經被盜的可能性,或者曾經在安全性不高的網站使用過相同的密碼,那麼隔一段時間修改是有好處的。
比如QQ密碼,可能很多人都點擊過模仿QQ空間登錄的釣魚鏈接,甚至在裡面輸入過密碼。有可能盜取密碼的人並不會立即使用這些密碼,但可能以後會用。如果自己及時修改,那就避免了以後被人登錄進你的QQ帳號的可能性。
如果強制讓人隔一段時間就修改密碼,會誘導人使用弱密碼(方便構造、記憶和輸入),這樣反而不安全。
參考: HTG Explains: Should You Change Your Passwords Regularly?密碼太多記不住,如果有點電腦常識,一般中毒是很難的,只要電腦沒木馬或者被暴力破解,密碼是不會被盜的。至於網站安全,那個不是你能控制的
不使用默認密碼,
儘可能少的在非直屬於自己的平台登陸或使用賬號密碼,儘可能使用自己長使用的第三方方式驗證。如果真的有有心人要獲取你的密碼,你怎麼改都一樣,說不定自己都整忘記了,關鍵的最終信息的確認手段後丟失後的快捷方式找回。如果密碼複雜程度差不多,那麼定期修改密碼的意義在於:
1.對於短期的破解
比如弱密碼掃描、常用密碼字典掃描 既然密碼複雜程度差不多,定期修改密碼,不會使賬號變得更安全或更不安全2.對於針對性的長期破解
這種情況基本不會有,前提是你的密碼本身很複雜(不在常用密碼庫中),而且攻擊者毅力很好,堅持對你的密碼進行長期窮舉(數周或者數月),那麼定期修改密碼會讓攻擊者無法判斷密碼是否被窮舉,比如0到9,你原來密碼是7,人家窮舉到5的時候,你突然把密碼改成2了……3.對於密碼的泄露
這個很常見,比如去年年底的明文密碼庫泄露事件,比如你有天把密碼寫在了哪裡,比如你曾把密碼告訴別人,比如你的密碼已經泄露了,人家一直在使用你的賬號,你卻不知道。定期修改密碼,可以降低因為泄露帶來的風險最後向你推薦「花密」這個工具: http://flowerpassword.com/本身「區分代號」的設計,可以讓你的密碼有版本控制的功能,詳情請看,特點優勢中的「可擴展」: http://flowerpassword.com/guide/feature1、在一定的強度之上,不需要越來越複雜。
2、定期更換密碼,從理論上說,有意義,如下:
假設你使用的密碼強度涵蓋了一億種密碼,假設入侵者窮舉這一億種密碼需要30天。當入侵者窮舉到10天的時候(此時你的密碼已被獲得的概率是1/3),你更換了密碼,那麼有2/3的可能,已經窮舉過的那部分作廢,需要重新來過。這又需要30天,10天之後你又換了密碼……可以看出,你更改密碼的頻率與窮舉所有組合所需要的時間的比值,決定了命中的概率(另外,別人剛剛猜到你的密碼,你就換了新的,也有很重要的安全意義)。如果你一直不更換密碼,有限長度的密碼總是會在有限時間裡被窮舉到。要防止窮舉有兩種途徑:1、增加更換密碼的頻率,很多高安全強度的通信機制,每秒鐘可以更換密碼數百次甚至更高,幾乎無法窮舉。2、不頻繁更換密碼,但限制窮舉行為(禁止窮舉和延長窮舉時間)。銀行卡的密碼一般允許被嘗試三次即完全禁止。大多數網站在輸錯密碼次數過多以後,會限制若干分鐘內無法窮舉(這會數萬倍上億倍地增加窮舉所需要的時間)。大多數的操作系統也有類似限制。這樣,即使你一輩子不更換密碼,別人要窮舉也有難度。最後,對於一般用戶,從未見到因為更換密碼增強安全或因為不更換密碼降低安全的事件。定期更換密碼 肯定更加安全如果記不住 用KeePass這樣之類的密碼管理軟體去管理嘛 而且想多複雜就多複雜 就一個主密碼就行了
不會告訴你 所有密碼都在一個EXCEL表裡。
太多帳號密碼了,記不住,所以幾乎不改
推薦閱讀:
