谷歌正在为其 Chrome 浏览器开发密码强度指示器。虽然今天确实可以通过浏览器插件获得此类功能,但 Google 将资源专用于开发浏览器本机密码强度工具这一事实清楚地表明了 Google 的优先事项。
通过添加此功能,Google 果断地承认密码强度在确保其用户安全方面发挥的关键作用。
密码强度比以往任何时候都更重要
那么为什么突然强调密码强度呢?这可能与网络犯罪分子拥有比以往任何时候都多的资源有关,这要归功于现代 CPU 和可以通过云计算实现的可扩展性。
因此,许多曾经被认为是安全的密码现在可以相对容易地被暴力破解。更长和更复杂的密码往往更能抵抗这些尝试。
Hive Systems 创建了一个图表,概述了黑客暴力破解各种类型的密码需要多长时间。
此图表会随着技术的变化而定期更新,以便准确估计破解密码所需的时间。
根据该公司的 2022 年图表,一个 12 位数字的密码可以在大约 2 秒内被破解。然而,一个由数字、大小写字母组成的 12 个字符的密码估计需要 24 年才能破解。
如果还包括符号,那么暴力破解密码所需的估计时间将增加到 3000 年!
强度 > 长度
教训是密码长度要求本身是没有意义的。毕竟,前面的所有示例都是基于十二个字符的密码。密码的复杂性决定了密码需要两秒钟才能破解还是需要 3000 年才能破解。
当然,这并不是说您可以完全忽略密码长度。
根据 Hive Systems 图表,网络犯罪分子可以立即破解一个六字符密码,无论该密码多么复杂。如果您想知道,一个坚定的(和耐心的)网络犯罪分子可以在半合理的时间内 – 五个月内破解一个复杂的十个字符的密码。
然而,十一个字符似乎是当前的转折点,因为一个复杂的十一字符密码将需要大约 34 年才能破解。
如果您真的想保证您的组织安全,您需要要求用户使用既长又复杂的密码。然而,问题是最终用户通常不愿意使用高度安全的密码。
大多数用户可能更喜欢更短且更容易记住的密码,特别是如果他们不依赖密码管理器的功能。
使用强密码让最终用户参与进来
尽管最终用户犹豫不决,但即将推出的 Google 密码强度工具最终可能会提高您组织的网络安全性,即使您不使用 Chrome。
至少有两种可能发生这种情况的方式。
最终用户指导
首先,当新的密码强度工具可用时,Chrome 将积极指导用户使用安全密码。随着时间的推移,Chrome 用户可能会习惯使用更强的密码,并且这种行为可能会进入您的组织。
密码重用
Google 可以间接提高组织安全性的第二种方式是通过没有人喜欢谈论的东西——密码重用。您的许多用户可能会在各种消费者网站上使用他们的工作密码,这样他们就不必记住这么多密码。
密码重用带来了明显的安全问题。但是,如果 Chrome 诱使用户采用更强的密码,那么这些密码将变得更难破解,从而减少与密码重复使用相关的一些风险。
在密码强度方面领先一步
好消息是,即使在新版 Chrome 发布之前,也有一种简单的方法可以让用户开始使用强密码。
与 Chrome 计划中的改进一样,Specops 密码策略已经在用户更改其工作密码时提供动态反馈。
此反馈有助于用户选择更强的密码,同时有助于减少用户的挫败感。
当用户输入新密码时,动态密码反馈功能会实时检查用户选择的密码是否符合组织的密码策略。如果新密码不符合策略,那么 Specops 密码策略将告诉用户他们的密码在哪里不足以及他们需要做什么来解决问题。
最终用户会看到 Specops 密码策略动态反馈
该规范性指南不仅使用户的生活更轻松,甚至可以减少您的组织收到的与密码相关的帮助台电话的数量。您可以在 Active Directory 中免费测试 Specops 密码策略。
