近日，美國FBI（聯(lián)邦調(diào)查局）發(fā)布了一條推文，建議人們經(jīng)常更換密碼以保證賬號安全，卻不料遭遇網(wǎng)絡(luò)專家啪啪打臉。

FBI在Twitter中說：

“購物的季節(jié)又到了，網(wǎng)購時(shí)請注意賬戶安全，請使用強(qiáng)密碼并經(jīng)常更換。”

推文剛發(fā)出不久，就引來不少安全專家的強(qiáng)烈質(zhì)疑，一位專家甚至毫不留情地直接抨擊負(fù)責(zé)FBI推文發(fā)布的人完全不懂網(wǎng)絡(luò)安全，他說：“FBI出了一個(gè)餿主意，不僅無法幫助人們提高賬戶安全等級，還會適得其反?！?/strong>

他的理由則是，“頻繁更換密碼會增大記憶負(fù)擔(dān)，導(dǎo)致人們傾向于使用更容易記住的密碼，這樣反而會降低破解難度，增加賬戶隱患”。他還強(qiáng)調(diào)，在近半年以上的時(shí)間里已有大量研究報(bào)告、研究組織和政府都表明不該頻繁更換密碼。

那么問題來了，作為普通網(wǎng)民的我們，聽誰比較靠譜？

改不改密碼，其實(shí)并不重要

宅客頻道發(fā)現(xiàn)，網(wǎng)絡(luò)專家抨擊FBI的主要論據(jù)是，頻繁更換密碼會讓人們降低密碼強(qiáng)度，宅客頻道（公眾號：宅客頻道）編輯由此聯(lián)想到一個(gè)日常工作場景：

宅宅是一名公司員工，剛開始他使用的是ZhaiZhai123456789#$*（強(qiáng)密碼），然而公司卻要求他每個(gè)月都更換一次密碼，剛開始他還不厭其煩地更改，隨著記憶量越來越大，忘記密碼和輸錯(cuò)密碼的情況出現(xiàn)地越來越頻繁，于是他有點(diǎn)不耐煩了，開始縮短密碼的長度，直接使用Zhai123456作為密碼，又過了幾個(gè)月，他干脆直接使用了123456作為密碼……

網(wǎng)絡(luò)專家的邏輯是：經(jīng)常更換密碼 → 密碼強(qiáng)度降低 → 賬號不安全，看出問題了嗎？之所以專家認(rèn)為頻繁更換密碼會降低賬號安全，是因?yàn)樗鼤绊懹脩舻拿艽a強(qiáng)度。因此，密碼強(qiáng)度才是決定賬號安全的關(guān)鍵，改密碼或者不改密碼只是間接的影響因素，并不太重要。

改還是不改？別糾結(jié)

在“改密碼還是不改密碼”的問題上，宅客頻道（公眾號：宅客頻道）記者采訪了國內(nèi)知名網(wǎng)絡(luò)安全知識學(xué)習(xí)網(wǎng)站i春秋的安全專家幻泉。他表示：

經(jīng)常更換密碼的作用主要在于：

1.減少密碼泄露造成的影響

當(dāng)一個(gè)網(wǎng)站數(shù)據(jù)庫被拖庫，黑客盜取用戶賬號密碼后可能不會第一時(shí)間去使用，而是經(jīng)過轉(zhuǎn)手倒賣，如果在這期間你恰好更換了密碼，就可以逃過一劫。此外，如果你曾經(jīng)將賬號密碼借給別人用，那么定期修改密碼同樣有助于降低密碼泄露的風(fēng)險(xiǎn)。

2.避免針對的長期破解

這種情況比較少見，但如果真的遇到毅力超強(qiáng)的攻擊者，堅(jiān)持對你的密碼進(jìn)行長期窮舉（數(shù)周或者數(shù)月），那么定期修改密碼會讓攻擊者無法判斷密碼是否被窮舉，比如000到999，你原來密碼是666，人家窮舉到123的時(shí)候，你突然把密碼改成100了……

幻泉同時(shí)還強(qiáng)調(diào)，“雖然經(jīng)常更改密碼確實(shí)有助于提高安全性，但不太符合實(shí)際情況，人不可能閑著沒事兒每個(gè)網(wǎng)站每周都要更新不一樣的密碼，除非是組織強(qiáng)制要求個(gè)人定期修改密碼，但那樣的話久而久之確實(shí)會讓用戶降低密碼的強(qiáng)度。對于日常個(gè)人使用密碼，就是把重要網(wǎng)站的密碼設(shè)置的復(fù)雜一點(diǎn)，而且和普通平臺的賬號密碼區(qū)分開（不要用同一套），就基本滿足日常安全需求了?！?/p>

在宅客頻道（公眾號：宅客頻道）看來，如果不結(jié)合場景而直接得出“經(jīng)常改密碼不安全”或是“經(jīng)常改密碼更安全”的結(jié)論，難免有誤導(dǎo)網(wǎng)民之嫌。FBI在推文中提出的建議，其實(shí)就是從個(gè)人角度出發(fā)，主動修改密碼，并且在修改密碼時(shí)不降低密碼復(fù)雜度，確實(shí)有助于提高賬號安全水準(zhǔn)，而網(wǎng)絡(luò)專家提出的“不應(yīng)該頻繁修改密碼”的結(jié)論，則更多是基于對組織和企業(yè)的研究而得出來的。

因此，個(gè)人賬號密碼改不改需要根據(jù)自身情況而定，但企業(yè)和政府組織最好不要再強(qiáng)迫員工頻繁修改密碼了，否則真的有可能適得其反！

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。