【科技在線】

據(jù)北京時間8月10日下午的新聞報道，一位專家在10多年前就計算機密碼問題向客戶提供過指南，畢爾伯是導(dǎo)游的作者。 伯克為當(dāng)時的一點建議而后悔。

比爾 伯爾曾建議客戶每隔90天撰改一次密碼，在詞匯中加入大寫字母、數(shù)字或者符號，例如， protected 可以變成 pr0t3ct3d4! 。現(xiàn)在伯克相信，這種建議在實踐中遭遇挫折。他已經(jīng)知道2003年的手冊搞錯了對象。 按照現(xiàn)在的建議，客戶不需要頻繁更換密碼，因為客戶在更換時通常只會對現(xiàn)有密碼進(jìn)行微小的撰改，比如將 monkey1 變成 monkey2 ，要推斷并不難。 另外，事實說明如果將詞匯隨機混合，破解會更難一點，比如 pig coffee wandered black ，用容易記住的部分替代詞匯反而更容易破解，比如換成 br0k3n! 。 美國國家標(biāo)準(zhǔn)技術(shù)研究所(nist)曾經(jīng)推廣過伯爾的建議。之后指南撰改過幾次，近一個版本是6月份發(fā)布的。薩里大學(xué)(university of surrey)教授阿蘭 伍德沃德( alan woodward)認(rèn)為： nist發(fā)布的任何東西都是有影響很大的，所以這些指南影響了很長一段時間。 他還說： 在相當(dāng)長的一段時間內(nèi)，我們已經(jīng)知道這些指南造成了不良影響。例如，如果你讓客戶頻繁更換密碼，他們選擇的密碼通常會變?nèi)?。因為我們有多個線上帳戶，情況變得更多而雜，所以會鼓勵客戶采取一點行動，比如采用跨系統(tǒng)重復(fù)采用密碼。 年，英國國家互聯(lián)網(wǎng)安全中心(national cyber security centre，簡稱ncsc)也發(fā)布了自己的指南。ncsc建議機構(gòu)放棄之前的政策，不要鼓勵客戶定期重設(shè)密碼，應(yīng)該讓客戶采用密碼管理器，所謂密碼管理器是一種程序，它能存儲幾百個不同的登錄密碼，不需要每一個都記住。

倫敦大學(xué)研究生院博士史蒂夫·默多克( steven murdoch )認(rèn)為，根據(jù)新的跡象提出升級密碼是件好事。 但是，在計算機安全的其他行業(yè)中，一些舊的提案已經(jīng)廣泛傳播，我們知道它們沒有用。 有必要讓研究知道什么樣的安全提案能夠改善現(xiàn)狀，政府和公司應(yīng)該多注意結(jié)果。