至 顶 科 技 科 学 情 报
NIST 数字身份指南不再要求定期修改密码
美国国家标准与技术局(NIST)数字身份指南的新版草案取得了供应商的认可。新版指南修改了密码安全建议,不再要求定期修改密码。原因是多项研究显示,频繁的更改密码没有预想的效果,事与愿违,达不到保护密码安全的目的。NIST 的最新推荐是在用户想要修改的时候去修改密码,或者是有入侵的迹象时应立即修改密码。NIST 也不再要求密码混合大写字母、字符和数字,因为研究显示此类的要求并不能带来强密码。NIST 认为,如果用户想要使用绘文字作为密码,那么就应该允许用户使用。NIST 认为最重要的是储存的密码必须盐化哈希 MAC 处理。