密码圣经作者:对不起!我教的密码设定都是错的
您一定也有过盯着电脑上的空格,绞尽脑汁地想要依照专家建议想出一个好记又不好猜的密码,想得面红耳赤、猛拔头发的经验。在体验过这样的煎熬之后,现在从国外却传来一个令人抓狂的消息:那些建议,根本就是错的。
美国国家标准技术研究所(NIST)2003年出版的1份文件附录,只有8页,但这短短8页内容却是公家机关和民营企业未来10几年内,设定帐户密码时的参考准则。附录中建议电脑使用者在设定自己的密码时,可以使用好记的简短字眼,但必须交替使用大小写,将部分字母替代为特殊符号,像是P@ssW0rd123!,或是MonKEyl!,而且最好是每3个月就固定更改密码。
当年负责执笔这份密码宝典的,是1位标准技术研究所里的中阶主管,名叫Bill Burr。最近他接受华尔街日报的访问时坦承:「我现在很后悔写些了那些东西…因为到头来,我的准则对一般人来说太复杂了,不易理解,而且老实说,根本就搞错方向。」
Bill Burr之所以公开坦承错误,是因为NIST最近着手修订这份密码准则,才发现里面的内容早已不合时宜,甚至根本就不正确,到最后干脆放弃修订,全部重写。
不少资安专家对NIST的决定并不感到意外,因为早从好几年前,网路上就开始流传一张漫画,用图像化的方式比较了2种密码设定方式的优劣。如果按照NIST密码宝典的建议,设定类似「Tr0ub4dor&3」这样的短密码,骇客只需3天就能破解;而若是改用4个不相干的英文字,例如「correct horse battery staple」,去掉字间空格,连起来当成1个长密码,骇客想要破解就得花上至少500年的时间,难度暴增。
近年来网站遇骇事件频传,从骇客外泄出来的帐户密码当中,可以发现许多使用者在选择密码时,为了遵照NIST所订下的奇怪规则,又怕密码太拗口自己记不住,结果都很有默契地使用了类似撇步来设定密码,像是把a换成@,把o换成数字零,让骇客轻易就试出了可能的密码组合。而每90天换一次密码的建议,更是折磨人,导致很多人偷懒只换掉其中1个数字,完全失去更换密码的意义,又徒增民众困扰。
因此,未来新版的密码准则将改为建议民众使用多个单字连结起来的长密码,而且除非帐户有被骇迹象,并不需要频频更换密码。
Bill Burr曾在越战期间替军方编写大型电脑程式,目前已退休,高龄72。对于自己编写的密码圣经有误,他解释2003年那时并不像现在网路那么发达,没有太多资料可以参考,所以他只好拿80年代的一份白皮书作范本,交差了事,结果很快就证明了科技变化的速度太快,任何「圣经宝典」都可能面临在短短几年内沦为废纸的命运。
参考资料:WSJ, The Verge
更多镜周刊报导美朝恶斗引爆全球核战恐慌 五个你不必因此睡不着觉的理由【南向深造去】欧美之外的留学路 为什么你可以考虑东南亚?抗议「逆向歧视」 美国亚裔团体杠上哈佛等名校