现代密码过期机制的安全性研究(2010)
该研究对现代密码过期策略的安全性进行了系统性评估。研究发现,强制用户定期更改密码的传统安全措施并未带来预期的安全收益,反而可能导致用户选择更弱或可预测的密码模式。论文基于大规模数据分析,挑战了密码过期作为通用安全实践的假设,为后续密码安全策略的演进提供了重要的理论基础。
背景速读
- 本文发表于2010年,是安全领域一篇经典论文,核心观点是:强制用户定期改密码(例如每90天改一次)并不能有效提升系统安全性,反而可能催生弱密码。
- 研究团队分析了某大学7700个真实账户的密码历史数据,发现用户被迫改密码后,通常只做微小改动(如加一个数字、改末尾字符),新密码与旧密码高度相似,极易被攻击者猜测。
- 论文否定了一项当时广泛采用的安全策略(定期改密),对后来科技公司(如谷歌、微软、NIST美国国家标准与技术研究院)修改自身密码指导方针产生了影响。
- 关键背景:2010年前后,业界普遍将"定期强制改密码"视为安全基操;本文及其后续研究促使各方重新评估这一做法的实际收益与成本。