有鉴于密码难记造成的反效果,FBI建议用户,最好改用15字符以上的密词(passphrase)取代复杂的密码,且不应设置多久变更一次或密码输入错误几次就锁定。
密码是手机、计算机、邮件及各种个人账号登录验证的主要验证方法,然而太多研究显示,大部分用户偏好使用好记的密码,像是1234、123456、或是password,有些人甚至在多个不同账号上都使用相同的简单密码。即使到了2019年,许多人都还是存在这种不良的上网行为,像是上千名公众人物的推特账号,遭一名学生以1234或iloveyou的简单技俩破解密码。
因此许多网站或企业开始要求用户设置复杂的密码,像是强制要求具备大、小写英文本母、阿拉伯数字及特殊符号等。但美国标准与科技研究院(NIST)认为,密码的长度比复杂度更为重要。
波特兰FBI依据NIST的理论,建议企业IT人员或一般用户,与其使用复杂的短密码,应该改用更长的密词(passphrase),最好由几个字词、最少15个字符组成。超长密词不但比密码方便记忆,而且能增加破解难度。例如VoicesProtected2020WeAre就是够强的密词,若能加入数个不相干的字更好,如DirectorMonthLearnTruck。
FBI建议,企业IT人员最好要求用户使用15个字符以上的密词,不要有大、小写或特殊字符。同时应只在IT认为网络遭黑时,才要求用户变更密码。网管人员最好能扫描所有人的密码,看看是否用了被破解率高的字典字词当密码,也不得提供密码“提示”。
FBI也提醒IT不应再实施账户密码输入几次就锁定的政策,否则黑客可能故意发动机器人攻击,反让用户被锁住而无法使用电子邮件等账号。
现在许多人会使用Vault程序或密码管理器,来存储众多密码。有人担心如果vault被破解了,可能反而让攻击者取得所有密码,但是安全专家普遍认为,Vault使用利大于弊。FBI也建议IT经理们不妨研究一下。