Re: [閒聊] 不為人知的工程師內幕

※ 引述《er2324 (er2324)》之銘言：
: ※ 引述《KyrieIrving1 (King of Dallas)》之銘言：
: : 不為人知的工程師內幕
: : https://i.imgur.com/8IQl4hC.jpg

最近 Bill Burr 接受 華爾街日報 訪問，提到了他很後悔也很抱歉為大家帶來這麼多困擾。儘管這份白皮書是早在一般人還用不到網際網路的 1980 年代就完成，而且 Burr 當時對此研究不深，他還是後悔讓大家設下太難懂又難記的密碼，況且其中很多規則可能放錯了重點。

-----

因為這莫名其妙的準則，結果一堆網站，特別是公務機關網站弄出一堆麻煩且一點用也沒有的規定

看看微軟怎麼說的：

-----

密碼原則建議 https://bit.ly/43d7NQn

## 一些常見做法及其負面影響

以下是一些最常使用的密碼管理做法，但是研究結果警告我們注意這些做法的負面影響。

### 使用者密碼到期要求

密碼到期要求弊大於利，因為這些要求會讓使用者選擇可預測的密碼，即由彼此密切相關的連續字詞和數字組成的密碼。
在這些情況下，下一個密碼可根據先前的密碼來預測。
密碼到期要求不會提供任何控制優勢，因為網路罪犯總會在盜取憑證後立即使用憑證。

### 密碼長度下限需求

若要鼓勵使用者考慮使用唯一密碼，建議您維持符合 8 個字元的最小長度要求。

### 要求使用多個字元集

密碼複雜性要求會縮減金鑰空間，並讓使用者以可預測的方式行動，因此弊大於利。
大多數系統都會強制實施一定程度的密碼複雜性要求。
例如，密碼需要使用下列所有三種類別的字元：

- 大寫字元
- 小寫字元
- 非英數字元

大多數使用者都會使用類似的模式，例如，第一個位置使用大寫字母、最後一位使用符號，倒數第 2 位使用數字。 網路罪犯知道這一點，因此他們在執行字典攻擊時會使用最常
見的替換，例如：$ 替換為 s、@ 替換為 a，1 替換為 l。
強制使用者選擇大寫、小寫、數字、特殊字元的組合會造成負面影響。
有些複雜性要求甚至會妨礙使用者使用安全易記的密碼，並迫使他們採用安全性較低且更難記住的密碼。

--

所以我現在都用密碼管理器了