可克达拉消灭密码？定期重置？准备好颠覆认知吧！

下述观点可能会颠覆关于密码卫生更佳实践的共同信念。

无可否认，在互联网安全问题日益明显的今天，人们越来越期盼一种无需密码、安全便捷的方式。甚至安全专家长期以来也一直坚持“消灭密码”的观点，他们对这种世界上古老的身份验证技术所存在的种种问题感到头疼。但事实上，密码不仅是有效的，而且仍然是企业设置中的主要登录凭据。数据显示，全球大约70%的组织仍在依赖“以密码为中心”的身份验证方法。

虽然组织应该尝试提高多因素身份验证 (MFA) 和无密码身份验证器在其系统中的渗透率，但与此同时，他们也应该尽其所能提高现有凭证系统的安全性。值得注意的一件事是，过去几年的许多新研究和指导方案已经修改了行业关于密码更佳实践的共识。

例如，美国标准与技术局（NIST）《数字身份指南》（特别出版物 800-63B）的新版本在多个方面挑战了有关密码卫生的传统认知。新版指南修改了密码安全建议，不再要求定期修改密码。原因是多项研究显示，频繁的更改密码没有预想的效果，事与愿违，达不到保护密码安全的目的。NIST 的新推荐是在用户想要修改的时候去修改密码，或者是有入侵的迹象时应立即修改密码。

NIST 也不再要求密码混合大写字母、字符和数字，因为研究显示此类的要求并不能带来强密码。NIST 认为，如果用户想要使用绘文字作为密码，那么就应该允许用户使用。NIST认为重要的是储存的密码必须盐化哈希MAC处理。

以下是网络安全应该知道的有关密码的一些新的非常规认知：

1.