美國聯邦貿易委員會(FTC)的研究人員發現,強迫電腦使用者更改密碼並不一定能提高安全性,反而可能弊大於利。
FTC的首席技術專家根據羅麗·克蘭納(Lorrie Cranor)稱,強迫使用者定期更改密碼“可能實際上弊大於利”。這個話題已經爭論了幾十年,但克蘭納是在經過認真的研究之後得出上述結論的。
一個有趣的發現是,如果研究人員破解了一個密碼,他們往往在很短的時間裡就能猜出使用者的新密碼,原因是使用者在被迫修改密碼時往往只在原密碼的基礎上作細小的改動。例如,使用者會將“secret10jan”改為“secret10mar”。
此外,克蘭納指出:“還有一個通過訪談和調查研究得到的證據表明,如果使用者知道他們將不得不定期更改密碼,他們往往不會在一開始就設定安全度很強的密碼,而且可能會把密碼寫下來。”
如果使用者被要求設定一個使用十年的密碼,他們就可能會設定一個安全度很強同時也難以記住的密碼。如果他們被要求設定只能使用三個月的密碼,他們就更有可能設定相對簡單因而也容易破解的密碼。
相比強迫使用者更改密碼,更好的做法是讓使用者使用較長(一般來說安全度也較高)的密碼,並迫使他們使用一些非字母字元。要提高使用者的密碼安全性,教育是比強迫才是更好的方法。
當然,對於重要的系統,最好是採用某種形式的雙因素身份驗證。即使最好的使用者生成口令可以抵擋當今先進的破解技術,它們仍然很容易受到肩窺、網路釣魚和社交工程攻擊的威脅。