为什么应该用密码短语替换密码 ?
为什么应该用密码短语替换密码 ?
为什么应该用密码短语替换密码 ?
几十年来,这个建议从未变过:使用包含大写字母、小写字母、数字和符号的复杂密码。这样做的目的是让黑客更难通过暴力破解密码。但最近的指南显示,我们更应该关注密码长度,而不是它的复杂性。长度是更重要的安全因素,而密码短语是让用户创建并记住长密码的最简单方法。
重要的数学#
当攻击者从漏洞中窃取密码哈希值时,他们会通过每秒数百万次哈希运算来暴力破解,直到找到匹配的密码。这个过程所需的时间取决于一件事:有多少种可能的组合。
传统的 8 个字符的“复杂”密码(P@ssw0rd!)大约有 218 万亿种组合。听起来很厉害,但现代 GPU 的测试时间却短得可怜,只需数月而非数年。如果密码长度增加到 16 个字符,且只使用小写字母,那么组合数将达到 26^16,破解难度将提升数十亿倍。
这就是有效熵:攻击者必须应对的实际随机性。将三四个随机常用词串在一起(“carpet-static-pretzel-invoke”)产生的熵远比将符号塞进短字符串中产生的熵要大得多。而且用户确实能够记住它们。
为什么密码短语在各个方面都占优势#
密码短语不是纸上谈兵的,而是有很好的操作性的:
它能减少重置次数。如果密码容易记住,用户就不再把密码写在便签上,也不再在不同账户之间重复使用类似的密码变体。您的服务台工单数量会减少,仅凭这一点就足以证明密码重置的合理性。
它具有更强的抗攻击能力。攻击者会针对模式进行优化。他们会用常见的替换词(例如用 @ 替换 a,用 0 替换 o)来测试字典中的单词,因为人们通常都会这么做。四字密码可以完全避开这些模式——但前提是这些单词完全随机且互不相关。
它与与现行密码设置指南保持一致。NIST已明确指出:优先考虑长度,而非强制复杂性。传统的 8 个字符的最低要求应该成为过去。
一条值得遵循的规则#
用户不再需要管理 47 个密码要求。我们只需为用户提供一条明确的指示:
选择 3-4 个不相关的常用词 + 一个分隔符。避免使用歌词、专有名词或流行语。切勿跨账户重复使用。
示例:mango-glacier-laptop-furnace或cricket.highway.mustard.piano
就是这样。没有强制大写字母,没有强制符号,没有复杂的剧情。只有长度和随机性。
顺利推出#
身份验证的变更可能会引发阻力。以下是如何最大程度地减少阻力:
从试点小组开始,从不同部门招募 50-100 名用户。给他们提供新的指引,并进行为期两周的监控(但不要强制执行)。观察用户的使用习惯模式:用户是否默认使用流行文化中的短语?他们是否始终达到最低长度要求?
然后,在整个小组内切换到“仅警告”模式。当用户的新密码强度较低或被盗时,他们会收到警报,但不会被阻止。这可以提高安全意识,而不会造成支持瓶颈。
仅在测量后执行:
密码短语采用率
帮助台重置减少
来自您的阻止列表的禁用密码
用户报告的摩擦点
将这些作为关键绩效指标 (KPI) 进行跟踪。它们会告诉你这是否比旧政策更有效。
坚持使用正确的政策工具#
您的 Active Directory 密码策略需要三个更新才能正确支持密码:
1. 提高最小长度。从 8 个字符增加到 14 个以上字符。这样可以容纳密码短语,而不会给仍然喜欢传统密码的用户带来麻烦。
2. 取消强制的复杂性检查。不再要求输入大写字母、数字和符号。长度可以提高安全性,减少用户操作的阻力。
3. 阻止已泄露的凭证。这一点不容商量。即使是最强的密码,如果已经在数据泄露中泄露,也无济于事。您的策略应该实时检查提交内容是否与已知的已泄露列表相符。
自助密码重置 (SSPR)可在过渡期间提供帮助。用户可以自行安全地更新凭据,而您的帮助台不会成为瓶颈。
密码审计让您能够了解采用率。您可以识别仍在使用短密码或常见密码组合的账户,然后针对这些用户提供额外指导。
Specops 密码策略等工具可处理所有三个功能:扩展策略最低要求、阻止超过 40 亿个泄露的密码以及与 SSPR 工作流集成。策略更新无需额外基础设施即可同步到 Active Directory 和 Azure AD,并且随着新的漏洞出现,阻止列表每天都会更新。
实际情况是怎样的#
想象一下,你的密码策略要求15个字符,但却放弃了所有复杂度规则。用户在下次修改密码时创建了“雨伞-杯垫-喷泉-素描”的密码。像Specops密码策略这样的工具会根据泄露的密码数据库进行检查,结果显示密码是干净的。用户无需密码管理器就能记住它,因为它是四个具体的图像链接在一起的。他们不会重复使用它,因为他们知道它是特定于这个帐户的。
六个月过去了,没有重置请求。没有便利贴,也没有因为误按符号而打电话给服务台。没什么革命性的东西——就是简单有效。
您真正需要的安全性#
密码短语并非灵丹妙药。多重身份验证 (MFA) 仍然重要。泄露密码监控仍然重要。但是,如果您要投入资源来更改密码策略,那么以下几点才是关键:更长的最低密码、更简单的规则以及针对密码泄露的真正保护。
攻击者仍然会窃取哈希值并将其强行离线。需要改变的是我们对真正减慢攻击速度的因素的理解,因此您的下一个密码策略应该反映这一点。
https://thehackernews.com/2025/10/why-you-should-swap-passwords-for.html
几十年来,这个建议从未变过:使用包含大写字母、小写字母、数字和符号的复杂密码。这样做的目的是让黑客更难通过暴力破解密码。但最近的指南显示,我们更应该关注密码长度,而不是它的复杂性。长度是更重要的安全因素,而密码短语是让用户创建并记住长密码的最简单方法。
重要的数学#
当攻击者从漏洞中窃取密码哈希值时,他们会通过每秒数百万次哈希运算来暴力破解,直到找到匹配的密码。这个过程所需的时间取决于一件事:有多少种可能的组合。
传统的 8 个字符的“复杂”密码(P@ssw0rd!)大约有 218 万亿种组合。听起来很厉害,但现代 GPU 的测试时间却短得可怜,只需数月而非数年。如果密码长度增加到 16 个字符,且只使用小写字母,那么组合数将达到 26^16,破解难度将提升数十亿倍。
这就是有效熵:攻击者必须应对的实际随机性。将三四个随机常用词串在一起(“carpet-static-pretzel-invoke”)产生的熵远比将符号塞进短字符串中产生的熵要大得多。而且用户确实能够记住它们。
为什么密码短语在各个方面都占优势#
密码短语不是纸上谈兵的,而是有很好的操作性的:
它能减少重置次数。如果密码容易记住,用户就不再把密码写在便签上,也不再在不同账户之间重复使用类似的密码变体。您的服务台工单数量会减少,仅凭这一点就足以证明密码重置的合理性。
它具有更强的抗攻击能力。攻击者会针对模式进行优化。他们会用常见的替换词(例如用 @ 替换 a,用 0 替换 o)来测试字典中的单词,因为人们通常都会这么做。四字密码可以完全避开这些模式——但前提是这些单词完全随机且互不相关。
它与与现行密码设置指南保持一致。NIST已明确指出:优先考虑长度,而非强制复杂性。传统的 8 个字符的最低要求应该成为过去。
一条值得遵循的规则#
用户不再需要管理 47 个密码要求。我们只需为用户提供一条明确的指示:
选择 3-4 个不相关的常用词 + 一个分隔符。避免使用歌词、专有名词或流行语。切勿跨账户重复使用。
示例:mango-glacier-laptop-furnace或cricket.highway.mustard.piano
就是这样。没有强制大写字母,没有强制符号,没有复杂的剧情。只有长度和随机性。
顺利推出#
身份验证的变更可能会引发阻力。以下是如何最大程度地减少阻力:
从试点小组开始,从不同部门招募 50-100 名用户。给他们提供新的指引,并进行为期两周的监控(但不要强制执行)。观察用户的使用习惯模式:用户是否默认使用流行文化中的短语?他们是否始终达到最低长度要求?
然后,在整个小组内切换到“仅警告”模式。当用户的新密码强度较低或被盗时,他们会收到警报,但不会被阻止。这可以提高安全意识,而不会造成支持瓶颈。
仅在测量后执行:
密码短语采用率
帮助台重置减少
来自您的阻止列表的禁用密码
用户报告的摩擦点
将这些作为关键绩效指标 (KPI) 进行跟踪。它们会告诉你这是否比旧政策更有效。
坚持使用正确的政策工具#
您的 Active Directory 密码策略需要三个更新才能正确支持密码:
1. 提高最小长度。从 8 个字符增加到 14 个以上字符。这样可以容纳密码短语,而不会给仍然喜欢传统密码的用户带来麻烦。
2. 取消强制的复杂性检查。不再要求输入大写字母、数字和符号。长度可以提高安全性,减少用户操作的阻力。
3. 阻止已泄露的凭证。这一点不容商量。即使是最强的密码,如果已经在数据泄露中泄露,也无济于事。您的策略应该实时检查提交内容是否与已知的已泄露列表相符。
自助密码重置 (SSPR)可在过渡期间提供帮助。用户可以自行安全地更新凭据,而您的帮助台不会成为瓶颈。
密码审计让您能够了解采用率。您可以识别仍在使用短密码或常见密码组合的账户,然后针对这些用户提供额外指导。
Specops 密码策略等工具可处理所有三个功能:扩展策略最低要求、阻止超过 40 亿个泄露的密码以及与 SSPR 工作流集成。策略更新无需额外基础设施即可同步到 Active Directory 和 Azure AD,并且随着新的漏洞出现,阻止列表每天都会更新。
实际情况是怎样的#
想象一下,你的密码策略要求15个字符,但却放弃了所有复杂度规则。用户在下次修改密码时创建了“雨伞-杯垫-喷泉-素描”的密码。像Specops密码策略这样的工具会根据泄露的密码数据库进行检查,结果显示密码是干净的。用户无需密码管理器就能记住它,因为它是四个具体的图像链接在一起的。他们不会重复使用它,因为他们知道它是特定于这个帐户的。
六个月过去了,没有重置请求。没有便利贴,也没有因为误按符号而打电话给服务台。没什么革命性的东西——就是简单有效。
您真正需要的安全性#
密码短语并非灵丹妙药。多重身份验证 (MFA) 仍然重要。泄露密码监控仍然重要。但是,如果您要投入资源来更改密码策略,那么以下几点才是关键:更长的最低密码、更简单的规则以及针对密码泄露的真正保护。
攻击者仍然会窃取哈希值并将其强行离线。需要改变的是我们对真正减慢攻击速度的因素的理解,因此您的下一个密码策略应该反映这一点。
https://thehackernews.com/2025/10/why-you-should-swap-passwords-for.html
关于作者
评论0次