为什么定期更改密码不是一个好主意
Posted: Mon Feb 17, 2025 6:53 am
史蒂夫游骑兵| 2016 年 4 月 28 日
英国政府通信总部 (GCHQ) 监督机构下属的通信电子安全组 (CESG) 警告称,强迫用户频繁更改密码可能会降低系统的安全性。
大多数管理员要求 IT 系统用户定期更改密码 - 每 30、60 或 90 天。然而,这没有多大意义,因为正如 CESG 指出的那样,被盗的密码通常会被攻击者立即使用。
在解释为什么建议组织停止向用户施压要求他们频繁更改密码时,CESG 代表指出,我们都被密码弄得不知所措:在大多数情况下,组织密码策略要求我们使用难以记住的密码——尽可能长且由随机字符组成。
CESG 在一份声明中表示:“如果我们只使用几个密码,我们还可以应对这种情况,但如果我们在网上生活中必须使用几十个密码,那就完全不可能了。”
如果用户被迫更改密码,大多数情况下他们会选择与以前版本略有不同的密码,或者已经在其他地方使用过的密码,或者比以前更弱的密码。 CESG 认为,这一点可能会被攻击者利用:如果攻击者有旧密码,他们通常可以很容易地确定新密码。
如果定期更改密码,则密码被写在某处(额外的漏洞)或被遗忘的可能性就会增加,这会导致生产效率下降,并给用户支持服务带来额外的负担,因为他们必须分配新密码。
“这是安全领域的案例之一,其效果非但没有达到预期,反而适得其反:用户被迫更改密码的次数越多,整体受到攻击的可能性就越大。事实证明,这种看似完全合理且完善的做法实际上是没有道理的,”CESG 表示。
CESG 补充道,取消密码过期时间可减少频繁更改密 柬埔寨电报数据 码所带来的漏洞,而长期使用密码所带来的风险仅会略有增加。
该机构表示,为了防止使用泄露的密码,建立对用户登录时执行的操作的监控是更合适的,这样可以识别异常行为,并及时警告用户在其登录时执行的非典型操作。这将允许用户报告未经授权的行为。
CESG 并不是唯一一个呼吁停止频繁更改密码的组织。美国联邦贸易委员会首席技术官洛里·克兰诺(Lori Cranor)近日也表达了类似的观点:“研究表明,频繁更改密码的做法给用户带来了不便和烦恼,并不能提供原本预期的安全益处,甚至可能导致用户在安全实践方面变得不那么严格。”
海豹发送至 Telegram
英国政府通信总部 (GCHQ) 监督机构下属的通信电子安全组 (CESG) 警告称,强迫用户频繁更改密码可能会降低系统的安全性。
大多数管理员要求 IT 系统用户定期更改密码 - 每 30、60 或 90 天。然而,这没有多大意义,因为正如 CESG 指出的那样,被盗的密码通常会被攻击者立即使用。
在解释为什么建议组织停止向用户施压要求他们频繁更改密码时,CESG 代表指出,我们都被密码弄得不知所措:在大多数情况下,组织密码策略要求我们使用难以记住的密码——尽可能长且由随机字符组成。
CESG 在一份声明中表示:“如果我们只使用几个密码,我们还可以应对这种情况,但如果我们在网上生活中必须使用几十个密码,那就完全不可能了。”
如果用户被迫更改密码,大多数情况下他们会选择与以前版本略有不同的密码,或者已经在其他地方使用过的密码,或者比以前更弱的密码。 CESG 认为,这一点可能会被攻击者利用:如果攻击者有旧密码,他们通常可以很容易地确定新密码。
如果定期更改密码,则密码被写在某处(额外的漏洞)或被遗忘的可能性就会增加,这会导致生产效率下降,并给用户支持服务带来额外的负担,因为他们必须分配新密码。
“这是安全领域的案例之一,其效果非但没有达到预期,反而适得其反:用户被迫更改密码的次数越多,整体受到攻击的可能性就越大。事实证明,这种看似完全合理且完善的做法实际上是没有道理的,”CESG 表示。
CESG 补充道,取消密码过期时间可减少频繁更改密 柬埔寨电报数据 码所带来的漏洞,而长期使用密码所带来的风险仅会略有增加。
该机构表示,为了防止使用泄露的密码,建立对用户登录时执行的操作的监控是更合适的,这样可以识别异常行为,并及时警告用户在其登录时执行的非典型操作。这将允许用户报告未经授权的行为。
CESG 并不是唯一一个呼吁停止频繁更改密码的组织。美国联邦贸易委员会首席技术官洛里·克兰诺(Lori Cranor)近日也表达了类似的观点:“研究表明,频繁更改密码的做法给用户带来了不便和烦恼,并不能提供原本预期的安全益处,甚至可能导致用户在安全实践方面变得不那么严格。”
海豹发送至 Telegram