當廠商都要說密碼該又臭又長,微軟卻告訴你:太亂的密碼根本沒用
(www.techbang.com)
ericj
積分 1
你的連結貼錯了,但是你貼的連結原文論點也沒錯, 這篇文章的標題是斷章取義的.密碼安全最重要的是強度和長度也沒錯.
但是如果你把整個 use case 拉到使用者和系統互動的層級來看, 一昧的加強長度和強度是不夠而且不切實際的.
微軟這篇研究的譯文在這邊 微软:暴力破解面前,增强密码复杂性基本没用1 當 use case 的層級拉大,你會發現暴露出來的風險會更多 網站採取什麼機制去保護密碼和資料,使用者採取什麼方法去輸入和使用密碼
這些複雜相關的東西,就跟一個水桶能保存多少的水,是取決于最短的那片木板.
你以為你的密碼夠長夠強,加了一塊超長的木板, 卻不曉得為了做這件事,你必須多安裝其他木板 或者以為只要做了這個就可以裝滿滿的水.....
haocheng
積分 0
標題有點誤導...
如果用 Password manager 的話,不同網站用不同密碼可以減低密碼外洩的傷害
ericj
積分 0
但是你得到另外一個風險.... 你把雞蛋都放在同一個籃子裡了...
haocheng
積分 0
看你覺得這跟在所有網站都用同樣的密碼哪一個風險大了
ericj
積分 0
為什麼不用“自己也記不起來的超高複雜度密碼” 就只能所有網站都用同樣的密碼?
我贊同的是這篇文章的兩個論點 一個是中等強度勉強可以記憶 (一定等同於全部網站都用同一個密碼嗎?) 和一個是自己完全記不起來的超高複雜度之間的取捨
另外選了 password manager 則又是另外一個取捨 或許它解決了超高複雜度密碼和每個網站都可以用不一樣的密碼 可是你暴露出來的另外風險又是哪些呢?
伺服器端應該提供的保護有哪些 而使用 password manager , 也是有一樣的問題 並不是將所有的責任都推給使用者就好了不是嗎?
haocheng
積分 1
重點不只是強度,人能記憶的密碼不管強弱都一定有某些規則(不然我們的大腦記不起來),有規則的密碼就更容易被破解
password manager 當然有缺點,就看你怎麼取捨而已,或許你可以參考一下 Bruce Schneier 1 的意見
網站當然有該做好的事情,不過這就不是我們能掌控的部份了