你應該聽取GCHQ的密碼建議嗎

GCHQ認為公司應該簡化他們的密碼政策，建議公司不要使用“強度計”或強迫員工每隔幾個月更改一次憑證。 該密碼指導 報告 說，英國普通公民有22個牢記密碼在線服務，說這是超過我們大多數人都記得。以前，政府的安全機構建議人們使用更難以破解的更復雜的密碼，但現在，GCHQ建議“簡化您的方法”。

GCHQ網絡安全總監Ciaran Martin在報告的引言中寫道：“復雜的密碼通常不會讓攻擊者感到沮喪，但它們會讓用戶的日常生活變得更加困難。”“它們會造成成本，導致延遲，并可能迫使用戶采用可增加風險的變通方法或非安全替代方案。”

相反，公司應該將默認密碼更改為新的密碼，在必要時僅使用它們來減少用戶需要記住的密碼數量，并考慮使用機器生成的密碼而不是讓人們選擇自己的密碼。

如果您確實讓人們設置了自己的密碼，請避免使用“強度計”，這會告訴用戶他們的憑證太弱而無法使用。“他們可能會引導用戶遠離最弱的密碼，但往往無法解釋可能導致密碼弱的因素(例如使用個人信息，重復字符或常用字符串)，”報告說。

該報告還建議更好地鎖定管理員帳戶和遠程用戶，保護性地監視異常行為，并且永遠不要將密碼存儲為純文本。

“英國公共部門的每個用戶至少有一個(并且很可能是更多)與工作相關的密碼，”馬丁說。“通過簡化組織的方法，您可以減少用戶的工作量，減輕IT部門的支持負擔，并消除不必要的復雜密碼可以鼓勵的錯誤安全感。”

行業反應

這些建議受到一些專家的歡迎。云安全公司Skyhigh Networks的歐洲發言人Nigel Hawthorn表示，這些提示“令人耳目一新”。

Hawthorn補充說，對強度計的禁令“似乎很聰明” - 即使它與他自己公司的研究相矛盾。

“根據傳統的強度計，我們分析了12,000個云服務并發現高達80%%的密碼允許”弱“密碼，但是儀表可能測量錯誤的東西并導致我們選擇難以記住的密碼，但是電腦很容易猜到。“

LogRhythm國際市場副總裁兼董事總經理羅斯布魯爾也對一些建議表示歡迎。“監控用戶行為的能力，特別是特權用戶的行為，比以往任何時候都更加重要，”他說。“通過適當的系統，組織能夠實時檢測行為模式的變化，并立即識別憑據何時受到損害。”

然而，他對GCHQ對公司的建議提出異議，要求公司每隔幾個月就不再強迫員工提出新的密碼。

“雖然每隔60或90天更換一次密碼對每個參與者來說都是麻煩，但它通常確保憑證保持獨特，”他說。

“妥協的憑據是違規行為的主要原因之一，雖然它不是萬無一失的，但定期更改它們可能會阻止黑客進入他們的行列。更重要的是，企業通常需要幾個月才能發現違規行為，因此GCHQ建議只有在存在妥協指標的情況下才能更改密碼，這可能會讓黑客長時間敞開大門。“