5个提高密码安全性的方法

 

您每周都会做出有关密码的决定。也许您新建了一个账户、重置了密码或响应了密码更改的提示。每次您在密码安全方面做了看似微不足道的错误时，比如没有创建足够强大的密码或在多个账户上使用相同的密码，就会增加风险。

您可能阅读了很多关于密码安全的文章，而对于该听谁的以及该听什么可能会让您感到困惑。因此，我们决定转向密码安全的可信来源：美国国家标准与技术研究院（NIST）特别出版物800-63B。该文件包含了许多的技术细节和政府术语，这使其难以阅读。

NIST对密码安全的看法

所以，我们为您解读了所有的建议。以下是五个简单的建议，帮助您在家或工作中如何保持您的数据和网络安全。除了来自NIST的许多其他建议和指导方针外，这些都是最常见的和最令人惊讶的建议。

不要选择攻击者可以轻易猜测到的密码。虽然这一点是显而易见的，但这是最常见的错误之一。您可以通过不使用字典单词、以前破译的密码、重复字符或用户名或应用程序/服务的密码来提高密码安全性。

NIST建议雇主保留维护一份易于猜测的单词列表，其中包括这些类型的密码。从那里，他们可以验证所有密码都不在列表中。令人惊讶的是，NIST还建议不要检查密码是否满足6个字符。例如，您可能会熟悉那些要求使用特殊字符或数字的系统。

使用密码强度计。NIST建议不要要求超过6个字符。相反，它建议公司使用密码强度计来告诉用户，他们的密码是强是弱。即使不太需要，大多数人也不想通过使用黄色或红色范围内的密码来降低强度计数。NIST表示，组织不应该要求员工在特定的时间间隔更改密码，比如每月或每季度。最后，他们建议只在密码被泄露或怀疑被泄露时才提示员工更改密码。

仅使用生物识别技术并结合物理身份验证。生物识别技术并非万无一失。因此，您应该只将它们作为双因素身份验证的一部分来使用。第二个身份验证应该是这个人所拥有的东西，比如一个设备。NIST还建议密码安全系统只有在使用一种认证方法后才要求生物识别。这样，服务器已经证明了它至少部分是安全的。

至少每30天注销一次所有账户。我知道我不能成为唯一一个可能多年没有退出某些账户的人。但是一直保持登录会增加被人窃取密码的风险。此外，企业应通过每30天自动注销员工退出与工作相关的账户中注销来执行此政策。这要求将损害限制在更短的时间段内。

使用多因素身份验证(MFA）。虽然这是关于密码安全的常见建议，但NIST在整个发布过程中重复此建议。“多因素使攻击更难成功”这句话真正总结了他们推荐MFA的原因。MFA不仅使攻击更难成功，许多威胁参与者甚至不会试图突破障碍，因为成功率太低，需要时间破译它。通过在他们的系统中添加MFA，特别是对于更改密码或通过新设备访问与工作相关的网络和站点等操作，企业可以真正提高他们的安全性。

一个安全的密码可使数据更安全

对于企业来说，每个员工都会增加密码安全的风险。因为通过从员工的一个糟糕的密码决定中窃取一个凭证，威胁参与者就可能会损害整个企业的财务和声誉。是的，它真的很容易造成重大的伤害。在家不保持良好的密码习惯可能会对个人设备和数据造成类似的损坏。

NIST800-63B阅读当然并不简单，但它的建议是可靠的。通过遵循这五个提示，您可以提高您的个人和商业密码的安全性。