译者 | 刘涛

策划 | 云昭

在计算机出现的不强早期，如果不是迫用坐在终端前，计算机之间和用户之间都是户使彼此隔离的，存储非常昂贵 。用复

因为只要这两个原则都成立，杂密把熵塞进短密码的不强唯一方法就是让它更复杂。密码复杂度规则就是迫用这样诞生的。此外，户使为了使密码更难破解，高防服务器用复还需要定期修改它，杂密使其成为一个移动靶子，不强这样破解起来就更加困难。迫用

但是户使我们不再生活在那个世界里了。

现在计算机是用复连接的，我们几乎永久地连接到我们的杂密系统 。存储也越来越便宜
。

因此 ，现在有一个更好的方法来提高密码的熵值：让密码变长。这样做更好的服务器租用原因是人们不能很好地处理复杂的密码 。这使得它们更难记忆和输入。没有一种熵的级别是通过增加密码长度而无法达到的 ，这意味着没有理由使用复杂度规则。如果不喜欢10个字符密码的熵，没关系，我们可以让它变成12个，但不要让它变得复杂
。同样的 ，建站模板13个 ，14个等等都可以。此外 ，熵随密码长度增加的速度比随密码复杂度增加的速度要快。

另外 ，使用长密码还有一个好处，那就是大多数常用单词都很短 。因此，如果要填写一个长密码 ，就得把单词合并起来（至少在英语中），这样密码就能抵抗字典攻击了。这甚至不需要用户自己去做 ，因为用户创建密码更容易
。云计算

与定期重置密码相比，有一种更好的方法可以防止暴力破解 ：当一段时间内登陆失败次数过多时通知用户和管理员。也可以在一定时间内限制登录失败的次数 。也就是说，不需定期重设密码，因为我们已经不是早期离线计算的时代了
。

密码管理器和多因素身份验证技术更有意义。密码管理器可以方便用户管理密码和选择随机密码。实施这些操作的同时，应同时提供给用户使用所需要的香港云服务器培训 。

下面的表格及其设置的变量假定：

密码复杂度和重新设置不会导致选择预期的随机口令，它会导致用户重复使用有限数量的不同密码
，仅改变可预测的数字和日期之类的字符串，这样用户就可以在需要的时候登录和工作  。它使密码更易于预测
，而且经常离线使用。这会使系统的安全性变得更差 ！

很多专业人士在2017年出版《NIST800–63》（数字身份指南）之前就明白了这一点，他们在该新技术标准发布后再也找不到任何借口
。

遗憾的是，像PCI-DSS之类的一些合规机制仍然要求定期重置密码，我希望以后它们会被更新并要求管理员多因素身份验证。传统是很难改变的！（注：Reddit用户表示 ，使用“补偿控制”MFA可以获得PCI-DSS认证而无需复杂度规则和密码重置）

全世界的企业浪费了数千小时的用户时间和服务台时间，并且由于他们仍然使用密码复杂度规则和定期密码重置，使得安全变得更加糟糕。是时候停止这种疯狂了。

那该如何做

译者介绍

刘涛 ，51CTO社区编辑
，某大型央企系统上线检测管控负责人，主要职责为严格审核系统上线验收所做的漏扫、渗透测试以及基线检查等多项检测工作 ，拥有多年网络安全管理经验 ，多年PHP及Web开发和防御经验，Linux使用及管理经验，拥有丰富的代码审计 、网络安全测试和威胁挖掘经验 。精通Kali下SQL审计
、SQLMAP自动化探测 、XSS审计 、Metasploit审计 、CSRF审计 、webshell审计 、maltego审计等技术  。

原文链接 ：

https://medium.com/the-ciso-den/when-will-cybersecurity-professionals-stop-hurting-both-their-users-and-security-d9931e6a1150