原計(jì)劃寫一個(gè)長文，是關(guān)于密碼的幾個(gè)常見誤區(qū)，以及軟件或互聯(lián)網(wǎng)產(chǎn)品設(shè)計(jì)中如何保障密碼安全。寫著寫著發(fā)現(xiàn)太長了，因此拆開幾個(gè)獨(dú)立的小文，這些小文就是【老郝說密碼系列】，方便大家閱讀。

很多機(jī)構(gòu)都建議用戶要定期修改密碼，理由是防止被黑客破解。這個(gè)給出的理由本身是錯(cuò)誤的，密碼是不是容易被破解與密碼強(qiáng)度有關(guān)，與定期改不改密碼無關(guān)。

密碼是否要定期改與使用場景有關(guān)，常改密碼是為了防止你的信息被長期監(jiān)聽。老郝十分不贊同不分場景就讓用戶經(jīng)常改密碼的做法，這樣看似更安全，實(shí)際上多數(shù)人會(huì)選擇改成更簡單更好記的密碼，客觀上讓密碼更不安全。

實(shí)際上，美國國家標(biāo)準(zhǔn)與技術(shù)研究所（NIST）發(fā)布的SP800-63B 數(shù)字身份指南里，也已經(jīng)淘汰了“定期修改密碼”等過時(shí)的要求：

停止密碼到期。這是我們以前使用計(jì)算機(jī)的一個(gè)老的想法。如今不要讓人改變密碼，除非有泄密的跡象。

NIST在SP800-63B中同時(shí)還對(duì)密碼提出另外一個(gè)建議，就是建議用“密碼短語”取代傳統(tǒng)密碼，關(guān)于這點(diǎn)老郝在昨天的文章里已經(jīng)談到了，怎么設(shè)好記又安全的密碼，說的就是密碼短語。

那么，什么場景下從需要定期修改密碼，我們分別舉幾個(gè)例子看一下：

1、單位辦公：你登錄單位辦公系統(tǒng)的密碼長期不變，也沒有雙因素驗(yàn)證手段，而競爭對(duì)手公司獲取了你的密碼，可以長期用你的賬戶進(jìn)入你們內(nèi)部辦公系統(tǒng)竊取敏感信息。這種場景下最好的解決辦法，是采用雙因素身份驗(yàn)證，如果條件暫時(shí)不具備，為了降低這種風(fēng)險(xiǎn)才有必要定期修改密碼。

2、系統(tǒng)管理：你是一個(gè)系統(tǒng)管理員，有單位各個(gè)系統(tǒng)的管理權(quán)限，但是沒有用雙因素身份驗(yàn)證，如果某個(gè)系統(tǒng)的密碼被黑客掌握，黑客通過這個(gè)系統(tǒng)可以在內(nèi)部網(wǎng)絡(luò)中長期滲透控制更多系統(tǒng)。同樣的，這種場景下最好也用雙因素身份驗(yàn)證，如果條件暫時(shí)不具備，才有必要定期修改密碼。

3、銀行賬戶：黑客盜取銀行賬戶密碼的目的是得到賬戶里的錢，那么他得到密碼后就會(huì)第一時(shí)間把錢轉(zhuǎn)走，這種場景下定期修改密碼沒有意義。當(dāng)然，如果你懷疑密碼泄露，就需要立刻改掉密碼。

通過上面的例子，我們總結(jié)一下：

定期修改密碼是過時(shí)的要求，對(duì)保護(hù)用戶賬戶安全沒有什么幫助，往往還會(huì)讓密碼更不安全。

應(yīng)該用雙因素身份驗(yàn)證來取代定期修改密碼，除非條件不具備時(shí)無法使用雙因素身份驗(yàn)證。

知乎專欄：https://zhuanlan.zhihu.com/allinsec

微信公眾號(hào)：信息安全茶館