定期更换密码真的更安全吗?
是否需要按照一定的准则更换?
比如更复杂,可是这样的话随著时间推移密码不就可能长得令人无法忍受? 或是在原来的复杂程度(相同的字符集,位数)上改变?可这样你如何得知所做的更变是使你远离了解密者的枪口还是靠近了(呃,不太会表达),在我看来从概率上说应该跟不更改是一样的吧? 至于变得更简单就更不用说了================================可能是我没表达清楚吧
我只是想单纯讨论一下定期更换密码是否真的能增加破解难度还是只是无用功,无关实际操作
不重要的不需要经常更换重要的的确有必须经常换我所谓的重要的 是如果别人获取了会对别人有利的内容资料。
为什么需要定期修改密码?按照附文的解释,适用场景是这样的:
你的密码已经被人盗取,获得你密码的人会时常登入你的帐号(同时想办法不让你察觉),监控你的活动。
如果你每隔一段时间就修改密码,那么盗取你密码的人顶多只能在一段时间内监控你的帐户活动,不能一直监控。
现实中这种情形似乎不常见。如果你不认为你的密码过去曾经有被盗取的可能性,那就没必要经常修改。
但如果你的密码有曾经被盗的可能性,或者曾经在安全性不高的网站使用过相同的密码,那么隔一段时间修改是有好处的。
比如QQ密码,可能很多人都点击过模仿QQ空间登录的钓鱼链接,甚至在里面输入过密码。有可能盗取密码的人并不会立即使用这些密码,但可能以后会用。如果自己及时修改,那就避免了以后被人登录进你的QQ帐号的可能性。
如果强制让人隔一段时间就修改密码,会诱导人使用弱密码(方便构造、记忆和输入),这样反而不安全。
参考: HTG Explains: Should You Change Your Passwords Regularly?密码太多记不住,如果有点电脑常识,一般中毒是很难的,只要电脑没木马或者被暴力破解,密码是不会被盗的。至于网站安全,那个不是你能控制的
不使用默认密码,
尽可能少的在非直属于自己的平台登陆或使用账号密码,尽可能使用自己长使用的第三方方式验证。如果真的有有心人要获取你的密码,你怎么改都一样,说不定自己都整忘记了,关键的最终信息的确认手段后丢失后的快捷方式找回。如果密码复杂程度差不多,那么定期修改密码的意义在于:
1.对于短期的破解
比如弱密码扫描、常用密码字典扫描 既然密码复杂程度差不多,定期修改密码,不会使账号变得更安全或更不安全2.对于针对性的长期破解
这种情况基本不会有,前提是你的密码本身很复杂(不在常用密码库中),而且攻击者毅力很好,坚持对你的密码进行长期穷举(数周或者数月),那么定期修改密码会让攻击者无法判断密码是否被穷举,比如0到9,你原来密码是7,人家穷举到5的时候,你突然把密码改成2了……3.对于密码的泄露
这个很常见,比如去年年底的明文密码库泄露事件,比如你有天把密码写在了哪里,比如你曾把密码告诉别人,比如你的密码已经泄露了,人家一直在使用你的账号,你却不知道。定期修改密码,可以降低因为泄露带来的风险最后向你推荐「花密」这个工具: http://flowerpassword.com/本身「区分代号」的设计,可以让你的密码有版本控制的功能,详情请看,特点优势中的「可扩展」: http://flowerpassword.com/guide/feature1、在一定的强度之上,不需要越来越复杂。
2、定期更换密码,从理论上说,有意义,如下:
假设你使用的密码强度涵盖了一亿种密码,假设入侵者穷举这一亿种密码需要30天。当入侵者穷举到10天的时候(此时你的密码已被获得的概率是1/3),你更换了密码,那么有2/3的可能,已经穷举过的那部分作废,需要重新来过。这又需要30天,10天之后你又换了密码……可以看出,你更改密码的频率与穷举所有组合所需要的时间的比值,决定了命中的概率(另外,别人刚刚猜到你的密码,你就换了新的,也有很重要的安全意义)。如果你一直不更换密码,有限长度的密码总是会在有限时间里被穷举到。要防止穷举有两种途径:1、增加更换密码的频率,很多高安全强度的通信机制,每秒钟可以更换密码数百次甚至更高,几乎无法穷举。2、不频繁更换密码,但限制穷举行为(禁止穷举和延长穷举时间)。银行卡的密码一般允许被尝试三次即完全禁止。大多数网站在输错密码次数过多以后,会限制若干分钟内无法穷举(这会数万倍上亿倍地增加穷举所需要的时间)。大多数的操作系统也有类似限制。这样,即使你一辈子不更换密码,别人要穷举也有难度。最后,对于一般用户,从未见到因为更换密码增强安全或因为不更换密码降低安全的事件。定期更换密码 肯定更加安全如果记不住 用KeePass这样之类的密码管理软体去管理嘛 而且想多复杂就多复杂 就一个主密码就行了
不会告诉你 所有密码都在一个EXCEL表里。
太多帐号密码了,记不住,所以几乎不改
推荐阅读:
