强密码和弱密码并没有什么区别？NIST密码安全标准更新：不再建议密码要求混合大写字母、字符和数字

作为一名认真负责的小编，每次注册账号设置密码的时候都是最痛苦的，太简单的怕被破解，太难的又记不住。

等你好不容易记住密码，三个月后IT同学过来拍拍你的肩膀，“你的密码到期了，记得改啊……”

目前绝大部分网站对于注册账号的密码强度分为3个等级：弱密码、中密码、强密码。网站会引导用户填写密码的时候混合大写字母、字符和数字的强密码。

但这种密码设置要求来源于美国国家标准和技术协会（NIST）。当年NIST主管Bill Burr撰写了一份名为NIST Special Publication 800-63的文档，建议大家设置密码时混合大写字母、字符和数字，并定期修改。这么成（keng）熟（die）的建议后来被各大媒体广为传播，一时传为美谈。

紧接着国内外网站纷纷响应，吃瓜群众创造了各种各样的花式密码。 
单词间隔法：Pa55word!1 
古诗转化法：Heartulx1.tong（心有灵犀一点通）
化学方程式：CH4+2O2=CO2+2H2O 
键盘顺序法：1qaz@WSX 
……

但在今年6月，原作者后悔了……美国国家标准和技术协会（NIST）提供的最新数字身份指南的新版草案中，不再推荐用户使用这一标准，因为研究显示此类标准，并没有什么卵用……

比如形似“Tr0ub4dor&3”这样的密码只需要用标准的破解技术在三天之内就能够破解，而且你很容易在被破解之前就忘掉自己的密码。而一句完全采用英文单词组成的摸不着头脑的短语 “correct horse battery staple”却需要约550年来破解。（如来佛祖的五指山都压不住啦）

而这组词语很容易形成独特的画面，对于人类来说非常容易形成记忆，但对计算机来说堪比天书，使得它很难被破解。

图片来自网络

另外研究显示，频繁的更改密码没有预想的效果，达不到保护密码安全的目的。因为大多数人应对 90 天更改密码要求采取的做法是将现有密码略微修改一下，比如 Pa55word!1 改为 Pa55word!2，完全起不到保护作用，很容易被猜出。

NIST数字身份指南的新版草案作者 Paul Grassi指出，此前的密码安全建议都是在摸索中前进，没有前人的尝试也无法摸索出切实有效的密码建议。所以也不再建议大家密码要求混合大写字母、字符和数字。他认为最重要的是储存的密码必须盐化哈希 MAC 处理。

密码的复杂性对于个人用户来说很重要，但对于提供登录场景的互联网企业来说，风险防控更加重要，它是保护用户账号安全的最后一道防火墙。

即便在用户无意间泄露密码，或密码设置过于简单的情况下，企业能基于用户行为、软硬件环境信息、业务基础信息综合判定用户登录请求的风险程度，避免机器人撞库或者非本人登录。阿里聚安全提供的数据风控功能，能有效对登录场景进行防控，防止刷库撞库、暴力破解、可疑登录等。并提供滑动验证码服务，通过生物特征判定操作计算机的是人还是机器，从而取代传统验证方式。

阿里聚安全 - 数据风控

阿里聚安全的数据风控功能，目前免费试用，欢迎来体验测试！

免费体验地址：http://jaq.alibaba.com/riskcontrol

------------

更多安全热点资讯和知识分享，请关注阿里聚安全的官方博客