密碼交錯字母、數字與符號不一定安全,密碼規則設定者為這形式感到後悔

Automobile Italia via Flickr
許多網站在用戶創建帳號時都會要求密碼包含多個英文字母、數字和特殊字符,但最早建立這一標準的人卻在 15 年後表示,複雜的密碼基本上是沒什麼用的。

在設定密碼時,我們總被告知要設置更複雜的密碼,為的就是提升帳戶的安全性,許多網站在用戶創建帳號時都會要求密碼包含多個英文字母、數字和特殊字符,但最早建立這一標準的人卻在 15 年後表示,複雜的密碼基本上是沒什麼用的。

建立這一密碼標準體系的人是 Bill Burr,曾在美國國家標準與技術研究所擔任主管,2003 年 Bill Burr 負責起草一份 8 頁的指導文件,主題是如何設定一個安全的密碼,這份文件裡全面地解釋了提升密碼安全性的要求,涉及電子信箱、個人帳戶和銀行帳戶等,所有系統的密碼都要求包括大寫英文字母、特殊符號和數字。

當 Bill Burr 並不是一位工程師,他也不是網路安全方面的專家,當時起草這份文件時他也沒有太多的資料參考,這位已經退休的 72 歲老人揭秘了複雜密碼標準背後的故事,他在接受華爾街日報採訪時表示,對於當初設置如此複雜的密碼標準,他非常後悔,在起草這份文件時他只是查閱了一些八十年代的論文,論文發表時還沒有網路服務,最終指定的標準有些過於複雜了,甚至可能是一個錯誤的方向。

Bill Burr 設定的標準是能夠提升密碼的安全性,越簡單的密碼越容易被破解。令人感到意外的是 Bill制定這種標準其實是沒有任何技術上的依據,早期網路平台的許多規則都沒有太多的理論依據,比如說現今網址中雙斜線符號的應用發明者 Tim Berners-Lee 也曾經表態,對這個發明感到遺憾。

本文授權轉載自:科技新報

追蹤我們