你应当定期更改密码吗
更改密码可不是凭空想想这么简单。如果人类有无限的时间和足够的金钱的话,定期更改密码或许会是个不错的注意。实际上,更改密码给人们带来了不小的负担。
定期更改密码让记忆好的密码变得困难。本来你只需要创建一个强口令,然后把记住就可以了,但是现在却要每隔几个月就去试着记忆新的密码。那些被迫去改密码的用户可能只是在原来的密码后面加个数字——比如password1、password2等等这样。
将你某个账户的密码定期更改,每次还要记住新的密码,可不是一件容易的事情。况且我们往往都有很多密码,想象一下不得不定期更改每个密码,还要记住一大堆新的密码的情形吧。
试图将每个网站的密码都设置为一个独一无二的强口令基本是件不可能的任务。这也是为什么我们推荐你使用密码管理器这样的软件的原因。如果你每隔几个月就更改密码的话,最终你将会倾向于使用弱口令并且在不同的网站之间复用它们。事实上,在各个地方都设置一个独一无二的强口令,比定期更改密码重要得多。
为什么更改密码不一定有效? 定期更改密码可能并不如你所想象的那般有效。如果骇客入侵了你的账户,他们通常会尽可能快地利用他们的访问权限进行破坏。如果他们侵入了你的网银账户,他们将会立刻登录并试图转出你的钱,而不是坐以待毙。如果他们侵入了在线购物网站的账户,他们会登录然后试图用你的设置好的信用卡购物。如果他们侵入了你的Email账户,他们就会用你的账户发送垃圾邮件以及进行钓鱼攻击,或者试图利用它重置你在其他站点的密码。如果他们侵入了你的Facebook账户,他们很可能会立刻发送垃圾信息或者对你的朋友进行诈骗。
典型的骇客都不会持有你的密码太长时间或者窥探你。那样无利可图,而骇客恰恰都唯利是图。还有,你也会注意到你的账户被其他人访问了。 定期更改你的密码有时候也是必要的,比如你所有的账户都使用了相同的密码,因为一旦其中一个服务的密码被盗,其他密码也会时不时地泄露。但是与其定期更改这一个密码,你更应该直面问题所在,为各处都设置不同的密码。
聚焦有益的建议 劝告人们定期更改他们的密码的问题,在于这个建议太没有吸引力了。如果没有密码管理器帮你的话,在各处使用不同的强度足够的密码已经是一个不可能的建议了。双重认证会很有效——因为即使有人偷了你的密码,它也会阻止非法的访问。与其告诉人们定期更改他们的密码,我们更应该传播一些有用的建议,比如“在各处使用不同的密码”——一个大家通常都没有使用的办法。
这并不是唯一一条我们不同意的建议。对于大多数家庭用户来讲,把某些密码写下来其实是个还不坏的主意——它比在各处都用相同的密码强多了。
我们也不是唯一一群反对定期地不分青红皂白地更改密码的人。安全专家Bruce Schneier写了一片文章“为什么定期更改密码不是一个好建议”。不错,是有些时候你想要这么做,但是给普通用户传达“每三个月更改你所有的密码”这样的建议是有害无益的。