我们不应该禁止弱密码，而应该减少密码

2024 年 4 月，英国禁止某些物联网设备使用默认的可猜测用户名和密码，成为第一个实施如此严格规定的国家。 

此举引发了许多问题：

这样的立法是否应该扩展到物联网设备之外？

我们是否应该包括个人和企业密码？

我们是否应该考虑在美国和其他地方实施此类禁令？

美国已经制定了法规来提高联邦政府拥有或控制的物联网设备的安全性，但在用户名和密码方面，它并没有超越《联邦贸易委员会法》、《儿童在线隐私保护法》（COPPA）和《加州消费者隐私法》（CCPA）等广泛法规所规定的范围。 

基于密码的安全性受到限制，因为共享机密本质上很容易受到攻击。

就英国立法而言，没有任何措施可以阻止用户将强默认密码更改为弱密码。

英国的立法总比没有好，但我们应该努力提高安全性，而不仅仅是禁止弱默认物联网密码。

密码禁令的范围和限制

英国将如何执行立法？在整个全球生态系统中，对数百万甚至数十亿用户强制执行任何形式的规定都是不切实际的。海外制造商也不太可能突然停止向英国运送密码保护薄弱的物联网设备。

即使如此，物联网设备上的密码也只是大多数人所有密码的一小部分。根据NordPass在 2024 年 3 月进行的一项调查，该公司的用户平均拥有 168 个密码。

虽然没有密码管理器的用户可能拥有的密码更少，但根据Verizon的 2024 年数据泄露调查报告，77% 的基本 Web 应用程序黑客攻击都是从使用被盗凭证开始的。显然，仅仅关注物联网设备并不能解决问题。  

可共享的凭证（如密码）本质上很弱，因此加强它们的想法也是有缺陷的。即使是最强的密码也比双因素身份验证或无密码替代方案要弱。

我们不应该禁止在物联网设备上使用弱默认密码，而应该努力为所有个人和企业账户提供更好的身份验证解决方案，而不仅仅是用户名和密码组合。

创新身份验证方法

即使我们有效地对每个账户实施弱密码禁令，这样的规定也不会刺激创新。相反，禁令会让用户因登录不顺而感到沮丧，并造成新的安全障碍。

追求安全行业创新的国家应该专注于用其他身份验证方法取代密码，而不是通过新类型的禁令。

想象一下，未来密码将消失，或者至少被更安全、更方便用户使用的方法所取代。强化密码只是权宜之计。我们可以也应该完全放弃密码。

除了密码之外，已经有许多创新，从基于时间的密码到密钥，再到可信的端到端加密通道。 其他不使用密码的安全身份验证方法包括 FIDO2/U2F、基于 PKI 的身份验证和设备上的生物识别技术。

这些技术可以确认用户的存在，在各个方面都完全胜过所有类型的密码。

密码的替代方案表明，可以在不牺牲安全性和用户体验的情况下实现平衡。如果在特定情况下无法替换密码，立法可以发挥作用，但激励 2FA 是更好的途径。让另一个因素参与进来是明智且好主意，而且肯定比仅仅试图禁止弱默认密码要好。

提高违约担保底线

英国的禁令还远远不够，但它也引出了一个问题：政府是否应该强制执行密码禁令，还是服务提供商应该采取主动？

由于政府努力跟上科技的步伐，公司应该考虑在用户安全方面发挥带头作用。

这不仅履行了服务提供商对用户的义务和责任，而且改善默认安全态势还可以帮助保护那些可能没有时间、专业知识或资源来管理自身安全的用户。改善默认安全态势可能比立法禁令更有效。

为了减少对密码和单因素共享机密的依赖，科技公司、监管机构和用户必须共同努力。让用户使用更少的密码将提高默认安全性的底线，而这正是每个人（网络犯罪分子除外）最终想要的。

我们越少依赖弱密码越好。彻底的密码禁令是解决细微安全问题的一揽子解决方案。

如果整个生态系统都转向更安全的默认设置，即尽可能随时随地取消密码——我们就不需要通过监管来摆脱这种困境。

立法在安全行业中始终发挥着作用，但我们可以通过利用创新的身份验证方法和提高默认安全性来解决更多长期问题。

立法和禁令并非一劳永逸的解决方案。我们应该努力不给用户提供不良行为的机会，例如采用默认密码或重复使用现有密码。

除了密码禁令之外，改进身份验证还需要科技公司和服务提供商主动减少密码的使用。

现在是时候开始努力实现安全性和无缝用户体验并存的未来了。