制式规格密码无用?Bill Burr向用户道歉

不管是到任何的服务网络,开设帐号绝对免不了的就是要一组密码,说真的一直是另人感到麻烦的事情之一,原因就在于创建密码时,除了要注意最少字符外,大多数的系统通常都会要求密码要由英文字母及数字组成,有些甚至更在开头采用大楷字母,或加入特殊字符等。而 14 年前发明这种规则的 Bill Burr,最近就承认这种标准基本上没有用,并对用家造成困扰感到十分抱歉。

002-106

2003 年建立安全密码规则

Bill Burr 过去曾担任美国国家标准与技术研究所(NIST)经理一职,而在 2003 年时,他就起草了一份如何创建安全密码的指南,而该份文件名为「NIST Special Publication 800-63. Appendix A.」,当中正正就包含了大楷字母、特殊字符及数字等规则,而自此之后各大登入页面,比如电子邮件及网上银行账号等,在建立密码时都要跟随这些规则。

004 (1)

当年缺乏密码研究参考数据

虽则提高密码安全性原意是好,但 Burr 最近接受华尔街日报访问时就表示,其实他当年编写指南对密码的范畴并不太了解,而且自己亦并非保安专家,而他参考的密码研究,主要是来自 1980 年代一份白皮书,而当时互联网仍未发明。Burr 指出这些规则令密码变得复杂,而且在保安方面其实没有太大作用,比如专门解答科学问题的 XKCD,就曾指出,一个用无意义随机字符组成的密码,只需 3 日便可破解;但一串较长而用较易单词组成的密码,比如用四个简单单词组成,就可能要用 550 年才能破解到。