三个月修改密码真的就能提升信息安全么?

你有多久没有改过银行卡的密码了?假如银行让你三个月必须修改一次密码,而且新密码不能重复使用最近5次使用过的密码,你会不会疯掉?

最近我实施的某个项目过程中,大量用户抱怨信息系统三个月更改账户密码的策略实在非常麻烦,甚至是“扰民”。三个月的时间很快就过去了,用户不得不重新修改密码,而且根据信息系统密码复杂度的要求,“不能重复使用最近5次使用过的密码”,所以用户不得不创建很多不常用且难于记忆的新密码,很容易就忘记密码,不得不重新申请设置,这个对于用户来说体验确实非常不好,对于正常的工作也是一种骚扰。

三个月修改密码就真的就能提升信息安全么?

某种程度上,这样的密码策略确实能够把可能遭受信息损失降低一些,比如,黑客从某种途径获取或破解了用户的密码,他可以在这三个月内访问系统,但是三个月后,密码将会过期,企业/用户的信息损失也就到此为止了。但事实真的是这样的么?微软几年前一份研究报告:Frequent password changes are useless

Microsoft undertook the study to gauge how effectively frequent password changes thwart cyberattacks, and found that the advice generally doesn‘t make much sense, since, as the study notes, someone who obtains your password will use it immediately, not sit on it for weeks until you have a chance to change it. "That’s about as likely as a crook lifting a house key and then waiting until the lock is changed before sticking it in the door," the Globe says.

On the bright side, changing your password isn‘t harmful, either, unless you use overly short or obvious passwords or you‘re sloppy about how you remember them. (Many users forced to change their password too frequently resort to writing them on sticky notes attached to their monitor, about the worst possible computer security behavior you can undertake.)

Rather, frequent password changes are simply a waste of time and, therefore, money. According to the Microsoft researcher‘s very rough calculations: To be economically justifiable, each minute per day that computer users spend on changing passwords (or on any security measure) should yield $16 billion in annual savings from averted harm. No one can cite a real statistic on password changes‘ averted losses, but few would estimate it‘s anywhere approaching $16 billion a year.

个人观点,对于企业内部信息系统,定期修改密码可能还是有必要的,但真的没必要是三个月这么短的时间,我们需要在安全性和用户体验间寻找一个更为合适的平衡,适当的放宽标准是非常有必要的。

推荐阅读:

Study: Frequent password changes are useless

http://web.archive.org/web/20100423185209/http://news.yahoo.com/s/ytech_wguy/20100413/tc_ytech_wguy/ytech_wguy_tc1590

Why do we annoy our users?

http://www.sicpers.info/2010/03/why-do-we-annoy-our-users/

Please do not change your password

http://web.archive.org/web/20100414135812/http://www.boston.com/bostonglobe/ideas/articles/2010/04/11/please_do_not_change_your_password/?page=full

Why Changing Your Passwords Often May Be a Waste of Time

http://lifehacker.com/5966214/how-often-should-i-change-my-passwords

How does changing your password every 90 days increase security?

http://security.stackexchange.com/questions/4704/how-does-changing-your-password-every-90-days-increase-security

版权声明:转载请以链接形式注明出处

时间: 2024-09-29 09:24:19

三个月修改密码真的就能提升信息安全么?的相关文章

NTOPNG修改密码

感觉这个有点妖,因为在两个实例上修改密码都失败了. 于是,从网上看看是怎么回事, 按以下步骤重置你想要的密码: 1,为密码生成MD5字串: echo -n "your_password" | md5sum 2,将字串倒入REDIS对应的字段: redis-cli SET user.admin.password ea847988ba59727dbf4e34ee75726dc3 搞定,收工. 只是心里有疑问,NTOPNG的修改密码功能真的不好用么?

mysql5.7如何修改密码以及密码如何忘记无密码登陆

今天买了一台阿里云服务器,Centos7.3系统,环境是LAMP.学生价9.8元是真的很实惠了.然后想修改一下mysql服务器的密码(mysql版本5.7),结果操作失误,密码给忘记了,导致新旧密码都不能登陆服务器,真是蛋疼.不过最终依靠自己的努力还是解决了问题. 错误案例演示 先来看一下我刚开始是怎么出错的(这是错误案例,大家不要照着这个例子敲,这里先演示了如何出错的,最后再修改): 1.先登陆服务器,use一个数据库"mysql".然后修改user表里面的数据.毕竟mysql的密码

在Exchange 2013 OWA登录页面中修改密码

透过OWA登录界面改密码对于使用Exchange的用户来说是一个很有有用的功能. 因为如果用户不在公司域环境中,当密码已经到期登录不了OWA,就没有办法通过OWA中的[选项]来改密码,当开启这项功能后,管理员和用户都可以很方便的处理密码到期的case. 早在Exchange2010的时候,我们需要通过修改CAS服务器的注册表项来实现这个功能.现在的Exchange2013已经内置了该功能,使用前只需要确认该功能属性的状态就可以了. 在最新的Exchange2013 SP1和CU5版本中,此功能在

Win7修改密码策略

第一步.Win+R打开cmd窗口输入gpedit.msc 第二步.修改密码策略(打开"计算机配置"-->"安全设置"-->"账户策略"-->"密码策略") 第三步.修改密码复杂度.密码使用期限 第四步.设置密码锁定次数 第五步.cmd下设置密码[net user administrator Hell0!jie]

MySQL5.7修改密码

MySQL5.7出来蛮久了,今天用官方的RPM包安装玩了一遍,与值之前的版本有些差异,MARK下. OS PLATFORM:Centos 7.3 安装MySQL 5.7版本,官网http://dev.mysql.com/downloads/repo/yum/ rpm -ivh  http://dev.mysql.com/get/mysql57-community-release-el7-9.noarch.rpm YUM安装: yum -y install mysql-community-serv

mysql 5.1版本 修改密码,及远程登录mysql数据库

mysql创建用户并授权:   格式:grant 权限 on 数据库名.表名 to 用户@登录主机 identified by "用户密码"; grant[英][grɑ:nt]   承认; 同意; 准许; 授予;  例1:允许mk用户从localhost登录 mysql>  grant all on book.* to [email protected] identified by "123456";  #允许访问book数据库下的所有表, 只能访问book表

mysql多实例忘记root密码,修改密码

1.修改配置参数 /etc/my.cnf 在 [mysqld3306] 下面加上: skip-grant-tables 2.重启MySQL mysqld_multi start 3306 3.修改密码 mysql -h127.0.0.1 -P3306 -uroot update mysql.user set password=password('test_new2_password') where user= 'root'; flush privileges; 关闭数据库 mysqld_mult

mysq安装以及修改密码

安装版MySQL是不能一键安装的,下载下来是压缩包,解压后只要进行相关配置就可以正常使用: 文章主要是记录一下,以防自己忘记: 1.首先在mysql官网--http://dev.mysql.com/downloads/mysql/  下载mysql: 2.下载后解压到对应路径 我是放在 D:\mysql-5.7.14-winx64\ 里面,解压完后改名,可以自己进行重命名: 3.配置环境变量 找到--高级系统变量--环境变量--系统变量 新建环境变量:变量名 MYSQL_HOME,变量值 D:\

python 随机远程主机修改密码

执行脚本需要有以下前提: 主机与客户机配置互信(ssh 无密码认证登录) 需要读取当前目录下的host文件,里面是连接远程主机的ip地址 脚本可以修改远程主机为ubuntu和centos的密码 代码如下: #!/usr/bin/env python #coding:utf-8 import paramiko import platform import sys,os import threading import time def color_print(msg, color='red', ex