复杂密码总是记不住?FBI建议这样设计更安全也更好记
▲FBI指出,与其使用难记的短而复杂的密码,不如考虑使用更常的短语作为密码。(图/取自免费图库Pixabay)
「密码」如今已成为现代人生活不可或缺的一部分,而这十几年来,安全专家也一直在讨论究竟怎样的密码才真正安全。联邦调查局(FBI)在每周技术咨询专栏中表示,与其使用难记的短而复杂的密码,不如考虑使用更常的短语作为密码。
FBI指出,密码的设计可用简单的两个词来概括:「长度」与「复杂性」,而「长度」又比「复杂性」重要得多。FBI建议,密码可采多个单词组合成至少15个字符的长字符串,「短语密码的长度使其更难以破解,同时也更容易记住。」这并非一个全新的概念,此前包括美国国家标准暨技术研究院(NIST)及网路安全公司SplashData都曾有过类似的建议。
此概念与知名网路漫画「correct horse battery staple」相呼应,该漫画比任何冗长的论文都更好解释为何以短语作为密码更难猜却更容易被记住。漫画中比较了「Tr0ub4dor&3」及「correct horse battery staple」两组密码的破解时间,以一秒猜1000个密码来计算,「Tr0ub4dor&3」仅需3天就能破解,而「correct horse battery staple」这4个词去掉中间的空格后,需耗时550年才能破解。
过去我们总认为像「G5e * cbCy74Tm $ * SZthE7igp7L」这样的密码相对安全,但这种密码除了难以破解外,使用者本身要记住也相当困难。而像长度相同的「FantasticYellowBowledHair」这样4个简单单词组合的密码,便能在同样难以破解的情况下,令使用者更容易记得住。
事实上,近期已有愈来愈多的组织开始呼吁人们不要过度依赖密码,如成立于2017年的FIDO联盟(Fast IDentity Online Alliance)即正致力于帮助世界减少对密码的依赖。FIDO联盟执行董事希奇亚(Andrew Shikiar)指出,将多个复杂的密码记住是个「巨大的挑战」,「这种困难使人们倾向使用容易记住及重复使用的密码,从而加剧了密码的风险。」
近来许多专家开始建议应完全摆脱「输入密码」这种验证形式,改采以手机USB安全密钥及生物特征扫描(如指纹辨识)等方式来登入。举例来说,目前中国大陆已开始使用QR Code及脸部辨识来付款。不过希奇亚也提醒,上述方式仍需克服行为及设备的升级周期,「当人们开始意识到,在手机上被称作『解锁』的行为,现在也可以用来『登入』,即可真的摆脱对密码的依赖。」
►别再用「123456」当密码啦!BBC教你自创好记又不易攻破的安全密码►3大密码流言破解!混合字符、频繁更换无助于密码的安全性