数字安全

这真的是正确的问题吗？以下是您在确保帐户安全时还应该考虑的事项。

03年四月2024日
 • 
,
5分钟读

过去几年来，我们在不断增长的潜力方面取得了很大进展 无密码认证 和 万能钥匙。由于基于智能手机的面部识别几乎无处不在，您可以通过查看您的设备（或其他方法）登录您喜爱的应用程序或其他服务。 生物认证就这一点而言）现在对许多人来说是一个令人耳目一新的简单和安全的现实。但这仍然不是常态，尤其是在桌面世界，我们中的许多人仍然依赖良好的密码。

这就是挑战所在——因为密码 仍然是诈骗者的主要目标 和其他威胁行为者。那么我们应该多久更改一次这些凭据以保证它们的安全呢？回答这个问题可能比您想象的要棘手。

为什么更改密码可能没有意义

直到不久前，人们还建议定期轮换密码，以降低网络犯罪分子秘密盗窃或破解的风险。普遍认为需要 30 到 90 天。

然而，时代在不断变化，研究表明，频繁更改密码，尤其是按既定时间表更改， 不一定会提高帐户安全性。换句话说，对于何时应该更改密码，没有一个一刀切的答案。此外，我们中的许多人都拥有太多的在线帐户，无法轻松跟踪，更不用说每隔几个月为每个帐户设置一个（强且唯一的）密码了。此外，我们现在生活在一个 密码管理员 和 双因素认证 (2FA) 几乎无处不在。

前者意味着更容易存储和调用每个帐户的长、强且唯一的密码。后者在密码登录过程中添加了相当无缝的额外安全层。一些 密码管理员 现在内置了暗网监控功能，可以在凭证可能被破坏并在地下网站上传播时自动标记。

无论如何，安全专家和全球知名权威机构（例如美国国家标准技术研究院 (NIST) 和英国国家网络安全中心 (NCSC)）不建议人们被迫做出改变，有一些令人信服的理由除非满足某些条件，否则每隔几个月更新一次他们的密码。

理由很简单：

• 根据 NIST 的说法：“当用户知道在不久的将来必须更改它们时，他们往往会选择记忆较弱的秘密”。
• “当这些变化确实发生时，他们通常会通过应用一组常见的转换（例如增加密码中的数字）来选择与旧记住的秘密相似的秘密。” NIST 继续.
• 这种做法提供了一种错误的安全感，因为如果以前的密码已被泄露，并且您没有将其替换为强大且唯一的密码，则攻击者可能很容易再次破解它。
• 据 NCSC 称，新密码，尤其是每隔几个月创建一次的密码，也更有可能被写下和/或遗忘。

“这是违反直觉的安全场景之一；用户被迫更改密码的次数越多，总体上就越容易受到攻击。事实证明，看似完全明智、长期存在的建议经不起严格的全系统分析。” 认为.

“NCSC 现在建议组织不要强制密码定期过期。我们相信，这可以减少与定期过期密码相关的漏洞，同时几乎不会增加长期密码被利用的风险。”

何时更改密码

但是，有几种情况需要更改密码，尤其是对于您最重要的帐户。这些包括：

• 您的密码已 陷入第三方数据泄露。提供商本身可能会告知您这一点，或者您可能已经 已注册此类警报 诸如 Have I Been Pwned 之类的服务，或者您的密码管理器提供商可能会收到在暗网上运行自动检查的通知。
• 您的密码是 脆弱且容易被猜测或破解 （即，它可能出现在列表中 最常见的密码）。黑客可以利用 工具 在多个帐户中尝试通用密码，希望其中一个能起作用——而且往往会成功。
• 您已在多个帐户中重复使用该密码。如果这些帐户中的任何一个被破坏，威胁行为者就可以使用自动 “凭证填充” 在其他网站/应用程序上开设帐户的软件。
• 例如，由于您的新安全软件，您刚刚了解到您的设备已被恶意软件破坏。
• 你有 与他人分享您的密码.
• 您刚刚从共享帐户中删除了人员（例如，前室友）。
• 您已登录公共计算机（例如，图书馆）或其他人的设备/计算机。

最佳实践密码建议

为了尽量减少帐户被盗用的可能性，请考虑以下事项：

• 始终使用强、长且独特的密码。
• 将上述内容存储在密码管理器中，该密码管理器将有一个主凭据可供访问，并可以自动调用任何网站或应用程序的所有密码。
• 密切关注密码泄露警报，并在收到警报后立即采取行动。
• 只要可以为您的帐户提供额外的安全层，就启用 2FA。
• 考虑 启用密钥 当提供使用手机无缝安全访问您的帐户时。
• 考虑定期进行密码审核：检查所有帐户的密码并确保它们不重复或易于猜测。更改任何薄弱或重复的信息，或者可能包含生日或家庭宠物等个人信息的信息。
• 不要将密码保存在浏览器中，即使这看起来是个好主意。这是因为浏览器是威胁行为者的热门目标，他们可能使用信息窃取恶意软件来捕获您的密码。它还会将您保存的密码暴露给使用您的设备/计算机的其他人。

如果您不使用密码管理器建议的随机强密码（或 ESET 的密码生成器），参考这个 提示列表来自 美国网络安全和基础设施安全局 (CISA)。它建议使用最长的密码或 通关密语 尽可能允许（8-64 个字符），并包括大写和小写字母、数字和特殊字符。

随着时间的推移，人们希望万能钥匙——在谷歌、苹果、微软和其他主要科技生态系统参与者的支持下——最终将标志着密码时代的结束。但与此同时，请确保您的帐户尽可能安全。