定期更改密码(密码强制过期)通常不具备任何意义!

作者:vkvi 来源:千一网络(原创) 日期:2021-5-24

匈牙利命名法,曾经被看作圣经,然而,现在看来,这是极其啰嗦的一种命名方式。密码要大写、小写、数字、符号,并定期修改,似乎也是密码管理的基本要求,被一些网络安全公司当作令箭。

然而,事实并非如此。

关于“大写、小写、数字、符号”

所以我们见到很多:Password!@#、1!qaz2@wsx……这类把计算机骗得团团转,但是一下就被猜中的密码。

关于“定期修改”中的防猜中

其论据是,别人猜了 3 个月了,你现在密码一修改,它前面的又相当于白猜了,这样密码就更安全了。

我还是回去补一下高中概率论吧。

关于“定期修改”中的现实问题

现在谁手上没有几十个密码,非要强制定期修改,都是变化极小,比如末尾 1 变 2,这种一眼就猜出来了。定期修改变得毫无意义。

还有更可恶的,要求新密码不能使用近 5 次使用过的密码,这不是逼迫用户使用 1、2、3 结尾来区分吗?

微软早就发文说了,密码过期策略并没有卵用。

相关文章