安全研究人員現在表示,密碼的長度、強度和復雜性無關緊要。
多年來,科技網站一直在發布相同的密碼提示,包括使用長而復雜的密碼。遺憾的是,多年來所有這些建議對普通家庭用戶選擇密碼的方式幾乎沒有影響。安全研究人員目前的共識是,在現實世界中,密碼的強度、長度或複雜程度幾乎總是無關緊要,這只能被描述為一個徹底的轉變。
完整披露:本文的部分內容基於此 Malwarebytes 博客文章
最常見的密碼攻擊類型是憑據填充,它使用在數據洩露中竊取的密碼。它之所以有效,是因為人們在兩個地方重複使用相同的密碼是很常見的,而且它完全不受密碼強度的影響。下一個最常見的攻擊是密碼噴灑,犯罪分子在盡可能多的計算機上使用非常簡單的密碼短列表。在這兩種情況下,一個可笑的簡單但獨特的密碼足以抵禦攻擊。
有一些罕見的攻擊類型——離線密碼猜測——強密碼可能會有所幫助,但權衡是人們更難記住強密碼,這導致他們對所有內容都使用相同的密碼,這使他們更容易受到撞庫攻擊 ~ <來源>
/塊引用>
當然,密碼管理器是一種有效的解決方案,但現實情況是,儘管多年來好評如潮,但大多數普通家庭用戶仍未使用它們。那麼答案是什麼?
雙因素身份驗證 (2FA)
我將從引用 2019 年文章 由微軟的 Alex Weinert 撰寫,他說……“根據我們的研究,如果您使用 MFA,您的帳戶被盜用的可能性會降低 99.9% 以上“。
Alex 稱之為 MFA(多因素身份驗證),Google 稱之為 2SV (兩步驗證),但它們的意思完全相同——通過不止一種方式證明您的身份。
當然,始終需要密碼,再加上輔助身份驗證方式,即通常以發送到您手機的唯一 6 位代碼的形式。現在,當我過去推薦 2FA 時,幾乎總是收到有人對提供手機號碼持懷疑態度的評論,我不能說我責怪他們。但是,我前段時間在多個帳戶上設置了 2FA(通過我的手機號碼)並且從未收到過任何類型的垃圾郵件或不需要的消息/電話。我唯一一次收到這些帳戶的消息是在我登錄並且 2FA 開始發揮作用時。
我的手機始終在我手中並且訪問受到保護,所以在我看來,這是一個非常確保我的帳戶無法被其他任何人訪問的安全方法。我一直不願意使用手機或 iPad 進行金融交易,但有了 2FA,我就沒有這樣的顧慮了。例如,如果我通過 PayPal 付款,系統會提示我輸入驗證碼以繼續。我很樂意遵守,因為我知道無論連接有多安全,只有我可以接收和輸入該代碼。
底線:
顯然,5 月 4 日是世界密碼日,這是我不知道的。但是,如果您今年什麼都不做,請考慮盡快在盡可能多的帳戶上設置 2FA。 2FA、MFA、2SV,無論他們怎麼稱呼它,絕對是保護您帳戶的最佳方法,無論其強度或複雜性如何,它都比單獨使用密碼更有效。
一些帳戶提供 2FA作為可選的,其他人根本不是,但在我看來,2FA 應該是所有在線帳戶的強制性要求。
—