宋明成

密码最佳实践是众所周知的，但它们真的是最好的吗？在过去的几十年中，大多数公司已经实施了他们认为是基本密码标准的内容。

这些通常包括：

确保由数字，字母（大写和小写）字符以及特殊符号和类似字符组成的复杂密码；

强制用户定期更改密码；

要求用户先前未使用的新密码。

这些准则已被广泛接受，因此我们看到支付卡行业数据安全标准（PCI DSS）中的要求规定密码应每90天更换一次。

但是，像所有成熟的技术政策一样，重要的是不时停下思考，并评估该政策在不断变化的环境中是否有意义。这正是美国国家标准与技术研究院（NIST）为密码准则所做的。我们应该忘记几十年来我们已经习以为常的最佳实践，并将新常态应用于密码管理实践。让我们来看看一些常用的密码安全实践，并与NIST的更新建议进行比较。

情结不一定强

我们似乎永远不得不选择包含数字字符，大小写字母和特殊字符变体的密码，以使密码复杂化。但是，NIST已经声明这不会导致更强的密码，并且这种做法应该被替代为对密码选择更加动态的支持。NIST建议组织通过检查选择的密码来防止已知泄露的泄露数据和已知的弱密码，从而支持用户选择更好的密码。很难说这个练习是不可能的，因为互联网上有大量诸如HashCat和类似的密码测试工具等工具的可用性使得密码选择的质量检查相当容易。

越长越好，并允许剪切和粘贴

我们都遇到过例子，你的密码长度不能超过8或10个字符。这可以在全球一些较大的组织中看到，毫无疑问，因为遗留系统的限制。NIST对密码长度的建议很明确。它表明应该允许至少64个字符的密码。此外，应确保用户可以粘贴到密码数据输入字段中，鼓励和支持使用密码管理器。奇怪的是，一些网站目前阻止用户将他们的密码粘贴到表单字段中，从而破坏了密码管理器的自动使用。

密码提示

恢复忘记密码的流行趋势是允许用户重置密码，如果他们成功回答提示问题，如他们的第一辆汽车或他们最喜欢的老师的问题。提示问题的质量通常可能会令人满意。低水平的问题加上现在在社交媒体上分享的个人信息削弱了密码提示的使用。NIST建议我们停止使用提示问题作为帮助用戶恢复帐户访问的手段。

定期更改

除了NIST的建议之外，国内黑客安全组织东方联盟研究人员也曾表示：不建议常改密码，即在黑客拥有您不知情的情况下获得信息的情况下，定期更改您的密码。反对这种做法的论点在于选择密码序列或模式的人性特征，以减轻记忆密码的工作量。因此，用户倾向于在当前密码末尾添加数字或其他增量字符，并在每次被迫更改密码时增加该字符数。这使得密码较弱，不推荐这种做法。

执行密码测试

如果您不能在用户生成或更改其密码时执行内嵌密码检查，请务必提供非常规密码强度检查。运行Hashcat等工具并识别弱密码，并为用户更改所有弱密码。停止强制定期更改密码，当用户怀疑自己的密码不再是秘密时，应该更改密码。但在正常情况下，密码不应经常更改。