密码已经成为人们在网络世界遨游时不可或缺的“通行证”。有时,网站会提示你:出于安全考虑,请定期更换密码。
微软研究院研究人员说,频繁更换密码费时费力且未必安全。
无用功
这一成果发布在颇受欢迎的“技术共和国”(TechRepublic)网站上,引起广泛讨论。
雅虎网站13日援引研究主持者、微软研究院首席研究员科马克·赫尔利的话说:“大部分安全建议并未给用户带来什么好处。”
赫尔利说,创建并保护密码的一整套标准并不可靠,用户根据建议定期修改密码绝不是对付黑客的好方法。黑客盗走密码后会立即启用,而不会等到人们改了新密码后才下手。
从好的方面看,经常更换密码并无害处,除非你使用过短或极易破译的密码。有些马虎的用户记不住密码,为强迫自己记住,他们在便条上写下密码并贴在显示器上,这可能是最糟糕的电脑安全措施。
代价高
赫尔利说,频繁更换密码不但没有用,而且浪费时间。他说,用户更改密码要经过多个步骤,随着网络威胁不断升级,步骤也不断增加。因此,这一过程往往耗费大量时间和精力。
他替用户算了一笔经济账:美国约有2亿成年网民,按每人挣最低工资的2倍计算,若每天占用他们1分钟,一年造成的经济损失达160亿美元。换句话说,每名网民每天花一分钟更换密码,全美一年就会损失160亿美元。
赫尔利说,安全专家总觉得用户没有足够的知识对付网络犯罪,但他们却忘了考虑一个非常重要的因素:用户时间的价值。
“很多安全建议只有在‘用户时间不值钱’的前提下才说得通,”赫尔利说。
巧防范
既然频繁更换密码既不经济也不安全,那什么安全措施最合理?赫尔利根据个人经验提出一些建议。
他说,用户一开始设置的密码应该具有很高的安全系数,即使老板要求定期更换工作电脑的密码,用户也应该坚持使用最初设置的密码。
此外,赫尔利强烈建议采用能带来持久益处的一次性措施,比如安装最新杀毒软件并设置成“自动更新”模式。微软公司发言人说,目前有三分之二的电脑所装杀毒软件已过期。另外,他还建议用户激活防火墙。
这些措施总费时不超过30分钟,并且能“隔离”电脑最可怕的杀手——用户。
赫尔利说:“很多时候,是我们自己为不法分子打开便利之门。无论密码安全系数有多高,无意间下载一个恶意键盘记录软件就会让你前功尽弃。”