2023/10/27
圖文引用自:cool3c
相信大家都心有戚戚焉,每次碰到這些落落長的要求,心裡就有底,這組密碼防止自己登入的次數將比防止被盜的次數還來得多。
大家是不是都有這樣的經驗呢?當你要設定新密碼的時候,出現了這樣的一行提示:密碼長度不得低於8位數、必須同時包含大小寫英文、數字、符號,且相同字元不得重複超過3次、英文或數字間不得連續⋯⋯ 相信大家都心有戚戚焉,每次碰到這些落落長的要求,心裡就有底,這組密碼防止自己登入的次數將比防止被盜的次數還來得多。
那你知道這種規則是誰創造的嗎?一切都始於近15年前,一名叫Bill Burr的美國國家教準技術研究所(NIST, National Institute of Standards and Technology)主管。Bill Burr 2003年草擬了一份8頁的指南,教大家怎麼建立安全的密碼,這份文件就叫做「NIST特別刊物800-63. 附錄A」。裡面建議大家設定密碼要用奇怪而無意義的字加上罕見的字元、大寫英文和數字,並且時常更換密碼。
我們後來常看到的大小寫、英數字規範,或多或少就是源自於這份文件,當時Burr的專業並非資安,而他現在已經72歲,也從研究所退休了。
最近Bill Burr接受華爾街日報訪問,提到了他很後悔也很抱歉為大家帶來這麼多困擾。儘管這份白皮書是早在一般人還用不到網際網路的1980年代就完成,而且Burr當時對此研究不深,他還是後悔讓大家設下太難懂又難記的密碼,況且其中很多規則可能放錯了重點。
基本上,Burr提到的規則並沒有錯,如果有心人要駭入你的帳號,密碼愈複雜、愈違反直覺愈不容易猜中。但他沒考慮到,使用者天性最怕麻煩:
「你要他加入大寫、符號且90天改一次密碼,他就會從Pa55word!1改成Pa55word!2。」
最後使用者還是設了超好猜的密碼(最常見的密碼就是password),還浪費了一大堆時間。
當然,現在需要設定密碼的服務這麼多,也已經有很多案例可以事後諸葛,檢討怎麼做才可以兼顧「使用者的惰性」因素。 電腦運算能力愈來愈強大 ,逐字去猜密碼的暴力破解法所需時間也愈來愈短。就像華爾街日報舉例,XKCD的漫畫,這些年來使用者已經被訓練成會設定人類難懂的密碼,但對機器來說卻相對好懂。…
