【科技在線】

據北京時間8月10日下午的新聞報道，一位專家在10多年前就計算機密碼問題向客戶提供過指南，畢爾伯是導游的作者。 伯克為當時的一點建議而后悔。

比爾 伯爾曾建議客戶每隔90天撰改一次密碼，在詞匯中加入大寫字母、數字或者符號，例如， protected 可以變成 pr0t3ct3d4! ?，F在伯克相信，這種建議在實踐中遭遇挫折。他已經知道2003年的手冊搞錯了對象。 按照現在的建議，客戶不需要頻繁更換密碼，因為客戶在更換時通常只會對現有密碼進行微小的撰改，比如將 monkey1 變成 monkey2 ，要推斷并不難。 另外，事實說明如果將詞匯隨機混合，破解會更難一點，比如 pig coffee wandered black ，用容易記住的部分替代詞匯反而更容易破解，比如換成 br0k3n! 。 美國國家標準技術研究所(nist)曾經推廣過伯爾的建議。之后指南撰改過幾次，近一個版本是6月份發(fā)布的。薩里大學(university of surrey)教授阿蘭 伍德沃德( alan woodward)認為： nist發(fā)布的任何東西都是有影響很大的，所以這些指南影響了很長一段時間。 他還說： 在相當長的一段時間內，我們已經知道這些指南造成了不良影響。例如，如果你讓客戶頻繁更換密碼，他們選擇的密碼通常會變弱。因為我們有多個線上帳戶，情況變得更多而雜，所以會鼓勵客戶采取一點行動，比如采用跨系統重復采用密碼。 年，英國國家互聯網安全中心(national cyber security centre，簡稱ncsc)也發(fā)布了自己的指南。ncsc建議機構放棄之前的政策，不要鼓勵客戶定期重設密碼，應該讓客戶采用密碼管理器，所謂密碼管理器是一種程序，它能存儲幾百個不同的登錄密碼，不需要每一個都記住。

倫敦大學研究生院博士史蒂夫·默多克( steven murdoch )認為，根據新的跡象提出升級密碼是件好事。 但是，在計算機安全的其他行業(yè)中，一些舊的提案已經廣泛傳播，我們知道它們沒有用。 有必要讓研究知道什么樣的安全提案能夠改善現狀，政府和公司應該多注意結果。