目前最好的口令建议（注意：这不是NIST指南）(2)

答案是越长越好，但是现实是对大多数企业网络来说，仅凭口令无法保护那些含有你财务或个人信息的网站。使用口令，但是不要用于那些你真正需要保护或者关心的内容上。至少在我们找到更好、更强大、更流畅的身份验证方法之前，使用MFA保护任何对你有真正有价值的东西。

什么时候更改你的口令?

NIST认为你只需要在你认为口令被泄露的时候更改口令，而不是定期更改口令，例如像以前的最佳做法，每45到90天进行一次更改。这个建议存在的问题是你很有可能不知道你的口令已经被泄露或者何时被泄露。

如果一直在使用一个口令管理器，可以实时检查用户创建和使用的每个口令，对付已知的口令泄露和发现口令泄露。

不要完全忽视NIST

NIST有关口令的策略，但是其身份指南是可靠的。他们鼓励管理员和用户从简单的登陆口令转向使用更强大的身份验证方法。他们不鼓励使用SMS信息作为强验证，而建议使用更复杂的方法。他们同时也为不同场景推荐了不同的身份验证的方法，这是很有意义。

【本文是51CTO专栏作者“李少鹏”的原创文章，转载请通过安全牛（微信公众号id:gooann-sectv）获取授权】

戳这里，看该作者更多好文

【编辑推荐】

1. 企业网络安全存在哪些主要问题
2. 为什么我3岁的儿子有不良信用记录？儿童数据泄露问题暗潮汹涌
3. CEO们需要了解的未来网络安全
4. 2019年最近发现的网络安全事件
5. 网络安全漫谈及实战摘要

（编辑：ASP站长网）