美国国家标准和技术协会（ NIST ）今年 6 月提供的最新数字身份指南的新版草案中，指出不再推荐用户使用密码混合大写字母、字符和数字，也不再要求定期修改密码。因为研究显示此类要求并不能增加密码强度，NIST 认为最重要的是储存密码必须盐化 + 哈希 + MAC 处理。 不过，对于 2003 年一篇广为流传的密码混合大写字母、字符和数字的 NIST 安全专家建议文章，其作者前 NIST 主管 Bill Burr 开始承认当时提供的建议并不成熟，后来也被证实不是太奏效，当然也有媒体的一些误导总结，导致更多的曲解。...

Google 与 CWI Institute 合作演示了对 SHA-1 的碰撞攻击，公布了两个 SHA-1 哈希值相同但内容不同的PDF 文件。这一消息在 Git 社区引发了 Git 对象碰撞攻击可能性。 Git 作者 Linus Torvalds 对此回应称 Git 不用担忧 SHA-1 碰撞攻击。他解释说，git 不只是哈希数据，还预留一个类型/长度字段，增加了碰撞攻击的难度，相比之下 pdf 文件使用了一个固定的头，为了实现相同的哈希值攻击者可以在里面加入任意的静默数据。 稿源：solidot奇客；封面源自网络...