示意圖,與新聞事件無關。

圖片來源: 

維基共享資源;作者:MichaelMaggs

現代密碼要求超過一定長度的數字及字母、有的要求大小寫、還要90天更新,令使用者困擾不已。現在,發明這項密碼規則的人對此感到抱歉。而今年NIST也更新了密碼的要求。

前全國標準與技術協會(National Institute of Standards and Technology, NIST)擔任經理時提出這項規則的Bill Burr本周在接受華爾街時報訪問時如此表示

2003年他和一群學者撰寫了NIST特別出版論文800-63號的《電子驗證指導原則》,其中在附件A列出了密碼要求,包括大寫字母、非數字的符號,以及最少一個數字等規則。他甚至還建議最好定期更換密碼。他在訪問中表示對當時做的事感到歉意,表示這些規則對大部份使用者來說太複雜,而且對於強化安全性,這種作法也是方向搞錯了。 

因為NIST制訂的密碼原則廣為企業、學校及政府機關採用,也使得取、記密碼成了絕大多數人的夢魘。由於記不住密碼,大部份使用者則發展出寫在便利貼貼在螢幕上、或是乾脆取「password」及「123456」等密碼,這類字串已經蟬連數年最常用密碼的前幾名 

也有人因此發展出P@ssW0rd123!這種兼具大小寫、並以數字及符號取代字母的密碼規則,然而重複使用這種規則的結果是駭客更容易預測及破解密碼。

2011年一則經典的xkcd漫畫就道出破解這類密碼並不難。一個Tr0ub4dor&3由於符合大小寫、數字替換及特殊符號運用的規則,以電腦破解只要3天即可,但簡單而有意義的字串反而需要550年,漫畫並寫著:人類花了20年終於成功訓練每個人使用一種人類記不住,但電腦很容易猜出的密碼。  

NIST在今年6月頒佈了由Paul Grassi擔任技術顧問撰寫的新一批安全文件,包括數位身份與驗證及生命周期管理等指導原則,則將密碼規則修正,例如將一些使用者可記憶的文字組成字串的密詞(passphrase),像是Puffineatingbanana,人類容易記憶,但電腦得花數百萬年才破解得了。文件指出,密詞和密碼用途類似,但通常長度更長也更安全。 

但華爾街時報引述Grassi肯定了Burr對電腦業界的貢獻,表示後者撰寫的安全文件用了10到15年,他希望他的文件也能用那麼久。


Advertisement

更多 iThome相關內容