微信号:gh_98bfb3afe7eb

介绍:.net .net跳槽 c#跳槽 C#程序员 .net软件工程师 SQL Server 等等,本公众号为求职、发布求职信息、以及.net等相关技术的交流平台.

密码要包含大小写字母+数字+符号,提这个建议的人刚刚承认他错了

2017-08-09 23:18 DotNet开发跳槽
这则趣闻是一堂产品经理课,产品越简单越好。因为如果复杂的话,你不会知道客户将会怎么使用它;即便知道,可能是13年之后了。



Bill Burr在2003年为美国政府工作时,写下了密码安全领域的“圣经“:使用大写字母、数字和非字母符号,原因是,复杂的密码难以被猜到;另外,Burr也建议经常更换密码。

所以,Burr是下列事情的始作俑者:迫使我们想出“Wohao5huA!”或者“P@55w0rd”这样折磨打字人的密码;迫使我们记住像“Uj3k@u90”这样的系统分配密码;根据公司IT部门的要求,90天,更换一次密码。

现在,Burr承认,他的建议是错的,这些办法实际上不能提高密码的安全性。相反,这些密码组合会让电脑系统更容易受到攻击,因为用户在创造了一个复杂密码之后,会重复使用这些密码,或者为了防止遗忘,会写下来贴到电脑旁边。而且,数字和符号的加入并没有让电脑更加免疫于黑客尝试所有组合可能性的“强力(brute force)”攻击。

定期更换密码的建议也是错误的。因为密码复杂,所以用户只会更换其中一个字母或数字,例如把“Wohao5huA!”改成“Wohao5huA?”。这种更改对阻止黑客来说毫无意义。而且,定期更改密码引起的不便比有限的密码安全更糟糕。

现在,美国国家科学技术研究所的线上密码指南已经更新,并提醒用户避免传统误区:

l  不要重复使用密码

l  结合大小写字母设置的密码没有你想象的安全,没有太大意义

l  更好的选择是那些长但是易记的密码,或者密码短语:“yinglianxunguimo(营联训鬼魔)”比“Wohao5huA!”这个密码难破解的多。

l  另外,更安全的办法是,使用双重验证,在登陆的时候最好得到短信的确认。

数亿人在过去10多年间遵循了这个看似有道理的密码原则,但是却没有考虑到行为因素的叠加。我从没意识到密码安全包括了密码本身的安全,还有我们对待密码的态度和使用方式。对于产品经理来说,这个经验很重要:如果产品不够简单,那么用户可能根本不会按照预想的方式使用这个产品。

只是,对于普通用户来说,我会想生活中还有多少我们完全不懂为什么但是还依然遵照的原则。



作者:孟小白,出处:http://36kr.com/p/5087394.html

图书推荐:

《我的第一本编程书》


简介:本书是编程的入门书,目的在于教会读者编程的基本思路和方法。书中使用专门的工具Sunaba,向读者展示如何从零开始一步步做出一个完整的程序。本书讲解详细、连贯,并采用了大量能与现实生活相结合的例子。特别是在对编程思路的介绍上,作者不惜笔墨,进行了详细的说明。本书适合初次接触编程的人阅读。

优惠购买方式:点击链接再选择浏览器打开https://s.click.taobao.com/KabTUdw转到商品链接

,领取优惠券地址:https://s.click.taobao.com/AeeTUdw

,或复制这条信息t2DB0cBHmqv

后打开手机淘宝,手机淘宝领取优惠券Qj2I0cBHo3w



 
DotNet开发跳槽 更多文章 九寨沟地震发生后,这些科技公司在行动…(为地震灾区人们祈福) 2017 软件开发薪酬调查:Go 和 Scala 是最赚钱的语言 自控力差不是病,你只是不知怎么与自己相处罢 【读书】吴恩达:下次找工作时不要再「Follow Your Heart」了 如何免费搭建一个属于自己的博客
猜您喜欢 尊享专属,IBM Bluemix资深技术架构师带来微课堂第四讲! 科特勒营销 Unity Analytics分析服务新功能Remote Settings,轻松玩转“热更新” 刚拿了联想5850万美元投资的时趣,靠什么破解创业公司C轮死魔咒? php开发工具