定期强制密码过期:英国国家网络安全中心为何说“不”?
2025 年 3 月 13 日,英国国家网络安全中心 (NCSC) 发布了一篇名为“强迫常规密码到期的问题”的博客文章,对长期以来被视为网络安全最佳实践的“定期强制密码过期”提出了质疑,并建议用户和企业放弃这一策略。
长期以来,定期强制密码过期被认为是保障网络安全的重要手段,其逻辑是:即使密码泄露,也会因为定期更换而降低被攻击者利用的风险。然而,NCSC 的这份报告指出,这种方法实际上弊大于利,并给出了明确的理由。
为什么 NCSC 反对强制定期密码过期?
NCSC 的论点主要围绕以下几个方面:
-
复杂密码带来的记忆负担: 为了避免密码泄露,用户往往需要设置复杂的密码。但如果频繁地强制修改,用户很难记住这些复杂且不同的密码,导致以下问题:
- 重复使用相似密码: 为了方便记忆,用户可能会选择在现有密码的基础上进行微小的修改,例如简单地将数字“1”替换成“2”。这使得攻击者很容易通过密码猜测或爆破的方式攻破账户。
- 密码记录在不安全的地方: 为了记住复杂的密码,用户可能会将密码记录在纸上、笔记应用或未加密的电子表格中。这反而增加了密码泄露的风险,甚至比密码本身被破解的风险更高。
- 降低工作效率: 频繁的密码重置不仅给用户带来不便,也增加了 IT 部门的工作负担,降低了整体的工作效率。
-
专注于真正的威胁: NCSC 认为,与其花费精力和资源强制密码过期,不如将重点放在预防真正威胁的方法上,例如:
- 撞库攻击: 攻击者会从已泄露的数据库中获取密码,然后在其他网站上尝试登录。
- 钓鱼攻击: 攻击者通过伪造电子邮件或网站,诱骗用户输入用户名和密码。
- 恶意软件: 恶意软件可以记录用户的键盘输入,从而窃取密码。
-
高成本低回报: 强制定期密码过期需要企业投入大量资源,例如:
- 技术成本: 需要开发和维护密码重置系统。
- 支持成本: 需要投入人力来处理用户密码重置请求。
- 生产力成本: 用户因为密码问题而无法访问系统,会导致生产力下降。
NCSC 建议采取什么措施?
与其强制定期密码过期,NCSC 建议采用以下更有效的方法来提高安全性:
- 使用长而随机的密码: 鼓励用户使用足够长且随机的密码。密码越长,破解难度越高。可以使用密码管理器来生成和存储复杂的密码。
- 启用多因素认证 (MFA): MFA 为账户增加了一层额外的安全保障,即使密码泄露,攻击者仍然需要通过另一种身份验证方式才能访问账户,例如:
- 手机验证码: 发送到用户手机上的验证码。
- 生物特征识别: 指纹或面部识别。
- 安全密钥: 一种物理设备,用于验证用户的身份。
- 监控账户异常活动: 监测用户账户的异常登录尝试、可疑的交易或不寻常的访问模式。
- 提高用户安全意识: 通过培训和宣传,提高用户识别钓鱼攻击、恶意软件和社交工程攻击的能力。
- 定期更新软件和系统: 确保所有软件和系统都及时更新,以修补已知的安全漏洞。
- 使用密码管理器: 密码管理器可以安全地存储和管理用户的密码,并生成复杂的密码。
对用户和企业的影响
NCSC 的这份建议对用户和企业都具有重要意义:
- 用户: 不要再被“强制定期密码过期”所困扰,可以选择更安全、更易于管理密码的方式。 专注于使用长而随机的密码,并启用 MFA。
- 企业: 应该重新评估其密码策略,停止强制定期密码过期,并采用更有效的安全措施,例如:
- 实施 MFA: 将 MFA 作为强制性的安全措施。
- 部署密码管理器: 为员工提供密码管理器,以帮助他们安全地管理密码。
- 加强安全培训: 定期对员工进行安全培训,提高他们的安全意识。
- 投资安全监控工具: 使用安全监控工具来检测和响应威胁。
结论
NCSC 的“强迫常规密码到期的问题”博客文章是对传统密码安全策略的一次重大挑战。 通过放弃强制定期密码过期,并采用更有效的安全措施,我们可以显著提高网络安全性,并减轻用户和企业的负担。 这标志着网络安全领域正在朝着更加实用和高效的方向发展。
总结来说,NCSC 的建议的核心思想是:与其关注频率,不如关注强度和防御。 强制定期密码过期带来的麻烦远大于好处,真正有效的安全策略是使用强大的密码、启用 MFA 以及提高整体安全意识。
人工智能提供了新闻。
以下问题用于从 Google Gemini 生成答案:
2025-03-13 11:50,’强迫常规密码到期的问题’ 根据 UK National Cyber Security Centre 发布。请撰写一篇详细的文章,包含相关信息,并以易于理解的方式呈现。
28