Re: [閒聊] 不為人知的工程師內幕

※ 引述《er2324 (er2324)》之銘言： : ※ 引述《KyrieIrving1 (King of Dallas)》之銘言： : : 不為人知的工程師內幕 : : https://i.imgur.com/8IQl4hC.jpg

: : 0_o : : 乾我真的看不懂 : : 有沒有工程師能解釋一下XD : 其實現在密碼要求的越來越複雜了。 : 以前－－ : 隨意輸入，最多可能就限你4個字以上。 : 現在－－ : 12個字+必須有英文跟數字+必須有大小寫+必須有特殊符號。 : 結果就是一堆人都記不起來， : 反而把帳號密碼寫進記事本裡面放在桌面上。 : 稍微駭進去就看光光了XD 15 年前發明煩死人的密碼規則，Bill Burr：抱歉浪費大家時間 https://www.inside.com.tw/article/10162 最近 Bill Burr 接受 華爾街日報 訪問，提到了他很後悔也很抱歉為大家帶來這麼多困 擾。儘管這份白皮書是早在一般人還用不到網際網路的 1980 年代就完成，而且 Burr 當 時對此研究不深，他還是後悔讓大家設下太難懂又難記的密碼，況且其中很多規則可能放 錯了重點。 ----- 因為這莫名其妙的準則，結果一堆網站，特別是公務機關網站弄出一堆麻煩且一點用也沒有的規定 看看微軟怎麼說的： ----- 密碼原則建議 https://bit.ly/43d7NQn ## 一些常見做法及其負面影響 以下是一些最常使用的密碼管理做法，但是研究結果警告我們注意這些做法的負面影響。 ### 使用者密碼到期要求 密碼到期要求弊大於利，因為這些要求會讓使用者選擇可預測的密碼，即由彼此密切相關的連續字詞和數字組成的密碼。 在這些情況下，下一個密碼可根據先前的密碼來預測。 密碼到期要求不會提供任何控制優勢，因為網路罪犯總會在盜取憑證後立即使用憑證。 ### 密碼長度下限需求 若要鼓勵使用者考慮使用唯一密碼，建議您維持符合 8 個字元的最小長度要求。 ### 要求使用多個字元集 密碼複雜性要求會縮減金鑰空間，並讓使用者以可預測的方式行動，因此弊大於利。 大多數系統都會強制實施一定程度的密碼複雜性要求。 例如，密碼需要使用下列所有三種類別的字元： - 大寫字元 - 小寫字元 - 非英數字元 大多數使用者都會使用類似的模式，例如，第一個位置使用大寫字母、最後一位使用符號，倒數第 2 位使用數字。 網路罪犯知道這一點，因此他們在執行字典攻擊時會使用最常 見的替換，例如：$ 替換為 s、@ 替換為 a，1 替換為 l。 強制使用者選擇大寫、小寫、數字、特殊字元的組合會造成負面影響。 有些複雜性要求甚至會妨礙使用者使用安全易記的密碼，並迫使他們採用安全性較低且更難記住的密碼。 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.34.203.27 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/C_Chat/M.1710322176.A.9F6.html