系统管理员和普通用户可能喜欢的目标发生了巨大的变化——它们与密码协议有关。

密码是生活中的事实——我们大多数人都有太多的密码。我们不记得所有这些，除非我们开始写下来，否则几乎没有办法跟踪它们。另一种方法是只记住你经常使用的密码，并在你需要访问其他网站时要求重置密码——但这需要大量的密码重置！像微软研究员科马克赫利(Cormac Herley)这样的专家，曾经谈论过密码重置的巨大时间成本，以及如何每年为大公司带来数百万美元的收益。

无论是查看个人数据、注册服务还是从电子商务商店买东西，都需要花费数百万分钟来敲击键盘。

那么，我们能做什么呢？我们密码使用中最令人沮丧和烦恼的方面是什么，让我们想把电脑和设备推出窗外？新的报告显示，作为一个社会，我们可能很快就会摆脱一些烦人的密码问题。随着对网络安全的新研究，我们可能会超越当前的一些安全标准，这些标准在过去几年中给我们带来了如此大的压力。

华尔街日报的一篇文章甚至引出了一些规则背后的同伴，并询问他们为什么不再需要这些规则。2017年8月7日，《华尔街日报》作家罗伯特麦克米兰(Robert McMillan)以2003年论文作者比尔伯尔(Bill Burr)的调查文章形式发表了一枚重磅炸弹，最终对该公司的密码标准产生了重大影响。伯尔在美国国家标准与技术研究所工作，这是一个负责评估美国技术创新的联邦机构。

“写这本关于密码管理的书的人承认了这一点，”麦克米兰在他的工作开始时说。“他搞砸了。”从那里，文章继续描述了数字时代的两个错误，它们使我们的生活变得复杂。首先是在密码中包含特殊字符的加重要求。另一种是经常改密码。调查：告诉我们你如何在商业中使用AI和ML(并赢得100美元的亚马逊礼品卡！)

通过回答这个快速调查，帮助我们了解企业是如何理解和使用AI和ML的！完成调查后，您将自动赢得一张价值100美元的亚马逊礼品卡！当你谈论几十个单独的密码时，这两个都需要很多时间。然而，第一个也是“糟糕界面”的经典案例——它不直观，迫使人们做出变通。认知不和谐与群体心理

我们大多数人都能“感觉”到这些密码标准是如何导致我们大脑中的混乱的。面对如何在密码中包含数字和特殊字符的非常抽象的选择，这是一个字母字符串，我们很多人会简单地使用“1！”以表明这实际上不会影响黑客。事实上，我们选择的常见选项越多，就越容易破解密码。多了解一下黑客，安全研究真的对黑客有帮助吗？)

此外，用户需要每月或每三个月左右更新一次密码。这一要求背后的原因是旧密码应该变成完全不同的东西——但它通常不是这样工作的。为了应对记住全新密码的额外脑力，用户将使用旧密码，并更改一个字母或数字。现在，旧密码是新密码的主要“告诉”——它变成了一种责任。

特别出版物800-63-3是对原始版本的更新，它完成了一些专家认为应该一直实施的许多内容。首先，它取消了组合规则，比如密码需要加感叹号，定期到期的要求。NIST 800-63-3增加了对“现实的”安全实践的关注。

新规则强调多因素认证，作者将其描述为将密码(你记得的东西)与物理钥匙或钥匙卡(你拥有的东西)或一段生物特征数据(你的一部分)混合在一起。其他建议包括使用加密密钥和需要接受所有可打印的ASCII字符，最大长度为64个字符，最小长度为8个字符。了解有关被动生物识别如何帮助IT数据安全的更多信息。)

在一份题为“迈向更好的密码要求”的公开幻灯片演示中，安全研究专家吉姆芬顿(Jim Fenton)详细列出了其中的许多修复方法，即“你应该”和“你不应该”，并解释了NIST如何建议创建一个可以轻松破解密码的字典，这些密码应该被自动禁止。“如果这不容易，用户就会作弊，”芬顿写道，他研究了一些常见的规则，这些规则将使弱密码更难破坏网络。

专家还建议用户使用密码“密码”或一组单词，而不是我们被训练提供的字母数字汤的混乱。为什么密码比较好？有很多方法可以解释为什么像“总蛋单车驴”这样的长密码会比“MisterA1”更厉害——但最简单的方法就是用一个非常容易理解的指标：长度。

NIST新规的核心思想之一是，在某些方面，我们将密码策略建立在对人类有意义的基础上，而忽略了对机器有意义的东西。一些随机字符可能会迷惑人类黑客，但计算机不太可能受到密码末尾额外数字或字符的影响。这是因为，与人类不同，计算机不会读取密码的含义。他们只是带着字符串读它们。

暴力攻击是指计算机遍历所有可能的字符排列，试图通过找到正确的组合来“打破”用户最初选择的一个。当这些攻击发生时，重要的是你的密码有多复杂——每个额外的角色都会增加一个巨大的、近乎指数级的复杂性。考虑到这一点，密码会成倍增加——即使人眼“看起来”更容易。

通过将密码的最大长度延长到64个字符，新的NIST准则为用户提供了所需的密码强度，而没有强加大量违反直觉的规则。没有提示！许多管理员喜欢摆脱特殊的角色要求和所有这些劳动密集型的密码更新，但当专业人士阅读新的NIST指南时，还有另一个功能也会受到影响。

许多系统要求新用户在就业期间向数据库添加关于他们自己的事实：其想法是，如果他们忘记了密码，系统可以根据他们过去的其他人不知道的一些想法来认证他们。你的第一辆车是什么？你的第一只宠物叫什么名字？你母亲的娘家姓是什么？

这是另一个让我们许多人感到不舒服的趋势。有时候，这些问题看起来很烦人。另外，有安全意识的怀疑者会指出，我们很多人都是先开雪佛兰，或者年轻时精力充沛，给自己的第一只狗取名为“斑点”。然后就是维护数据库，必要时匹配答案的工作量。可以肯定的是，当有更好的选项让用户活动真正安全的时候，不会有多少人会对“密码提示”功能的消失感到失望。

不，这不是华夫饼屋！在其他创新中，专家们现在建议使用“盐析”密码，这涉及到在“哈希”过程之前创建随机字符串，将一个数据集映射到另一个数据集，从而改变密码的组成，使其更难破解。还有一个称为“拉伸”的过程专门用于防止暴力攻击，部分原因是评估过程很慢。

所有这些功能的共同点是，它们发生在管理领域，而不是在用户的指尖。一般用户并不想独立于这些程序性的东西——他(她)只是想在网络系统中访问和做任何操作，无论是完成工作任务，与朋友建立联系，还是在网上买卖东西。所以取消“客户端”密码规则，做很多安全管理，公司等利益相关方才能真正提升用户体验。

这是一个关键点，因为提升用户体验是很多新技术创新的意义所在。我们已经从电脑、智能手机和其他设备中挤出了许多功能——未来几年我们将取得的许多进步包括让虚拟任务更容易完成，以及摆脱笨拙的体验：例如非移动优先网站、急躁的界面、糟糕的电池寿命.还是繁琐的登录！这就是密码创新的由来。

回到多因素身份认证的想法，生物识别技术很可能会解锁设备的易用性-当您可以展示您的设备时，为什么要点击并输入带指纹的长密码？

实际执行：仍然存在一些挑战。我们说过，我们暂时坚持使用密码和密码。例如，一些较新的操作系统已经从四位数字PIN切换到六位数字PIN，这使得我们许多人在设备上绘图的速度慢了很多。

NIST推荐的“密码短语”方法的一个问题是仍然会有密码重置(正如在裸安全主题中讨论的)。人们仍然会忘记他们的密码。有些人认为，当原始密码较长时，IT人员发放新密码可能会更加困难。

但是，当涉及多因素身份认证时，可能会有一些潜在的风险。生物识别技术还没有真正普及，但几乎每个人都有手机。许多在线银行系统和其他系统正在使用SMS来验证用户的身份。这可能是检查丢失或忘记密码的帐户的简单方法。如上所述，这也是加强密码的关键方法。

本质上，联邦机构似乎在告诉经理们：放松。让用户更直观地工作，更好的加密，禁用字符串的字典，更长的输入字段和更多的功能。不要教他们用星号和可爱的特殊字符给密码加油。不要让他们每隔几周就重新安排整个流程。

所有这些都会让一个给定的平台越来越精简。简单地消除密码提示就可以消除所有资源需求的重要代码库。新的NIST规则将密码安全置于其位置：在特殊用户的手中，它进入了一个模糊的地方，技术功能使昨天的暴力攻击成为过去。他们让我们所有人采取一种新的和冷静的方法来进行试验：为数字生活的每个角落制作独特的单词和短语。

这是迈向更直观的用户界面世界的又一步——一个新的和改进的数字世界，在这里我们所做的感觉更自然，更少混乱。