「唉呀!你的密碼應該要有大寫英文和數字」密碼專家:拋棄這種規定吧

by:泥仔
15950

每次設置一個新帳號,系統總會溫馨提示使用者要記得用一組有英數混合、混雜大小寫的密碼,等到你把帳號設定好,有的網站還會幾個月固定提醒你一次「密碼太舊了記得改一下喔!」。種種關於網路密碼的規定總是令人焦頭爛額,不過想到這可能是在保護我們的帳號安全,大多人頂多摸摸鼻子算了,然而,如此複雜的密碼設置程序可能在保護帳號上沒什麼實質幫助。

post title

現今不同的網路平台對密碼有著各式各樣的要求規範,如果我們不常使用,總是很容易忘記在特定平台設定了什麼密碼。

路透社

密碼規則多  又要固定更改好麻煩

在現代生活,設置網路帳號密碼總是令人困擾,因為各大網路平台對於密碼的要求都不同,有些平台又會時不時要求使用者固定更改密碼,大大增加了記憶密碼的難度。

源自15年前的規範

其實這套密碼安全守則是源自 2003年,在美國標準與技術協會(National Institute of Standards and Technology, NIST)擔任經理的伯爾(Bill Burr)所提出,他當時建議人們在設置密碼時,應該使用由英文、數字、奇怪符號混雜而成的單字(像是把「impressive」改成「1Mpr3$$1v3!」),而且使用者應該要定期更改密碼。

伯爾:我後悔自己提出的建議

這十幾年來,伯爾的建議一直廣為政府、公司、教育單位採用,然而在本周一(7),已經退休的伯爾在與《華爾街日報》的訪談直言,他對提出這些建議感到後悔,也認為自己在保護密碼方面搞錯了方向。

post title

面對各式各樣的密碼規範,有些人反而會設置簡單好記的字符組合,進而讓密碼變得更好破解。

Photo: Microsiervos

對使用者是負擔  而且沒有比較安全

在接受訪問時,伯爾指出,依循這些規則設置的密碼對使用者來說是種負擔,也反而會讓駭客更容易破解。

嫌麻煩挑簡單的設定  就算常改也沒用

回頭細看這些規則,伯爾建議使用者應該每 90天改一次密碼,有的使用者可能會嫌麻煩就把密碼從「impressive1」改成「impressive2」,有的使用者則是不知道要設什麼密碼,就習慣性地使用一些很容易被破解的字符當密碼,像是在句末打上「!」、「?」,或是使用常見的「123」數列。而不論是哪種情況,都與「讓密碼更安全」的想法背道而馳。

到處都用一樣的密碼

此外,雖然把「impressive」改成「1Mpr3$$1v3!」看似把密碼變得很難很複雜,但對人們來說,這種密碼反而不容易記憶,倒頭來他們不是把密碼寫在很顯眼的地方,就是會在所有網路平台使用一樣的密碼。

字符轉換有規則  反而容易破解

此外,由於英文轉換成數字、特殊符號的模式、密碼大小寫的擺放位置大多有跡可尋,所以對有些駭客、電腦演算法來說,來預測並破解這些密碼並不是難事。

post title

一名藝術家替狗狗加上一個「你記得你的密碼嗎?」對話框。網路漫畫家門羅認為,我們依循這種規定創造出了人類記不得,電腦卻能夠簡單破解的密碼。

Photo: Ron Mader

各種字符混在一起的複雜密碼  3天就可破解

其實早在 2011年8月,美國網路漫畫家,前NASA機器人專家及程式設計師門羅(Randall Munroe)就在他的趣味科普網站xkcd以漫畫的方式,解釋電腦因為可以預期「Tr0ub4dor&3」(編註:troubador的變體)的大小寫位置、既定的數字替換模式、常出現的特殊字符,所以只要 3天,就能夠輕易破解密碼,但是這類密碼對人類來說卻很難記憶。

把各種單字隨機混在一起就很好了

然而,如果使用者是用「correcthorsebatterystaple」(正確的馬兒電池釘書機)這類隨機字詞組成的密碼,電腦得花上 550年才能順利破解它,但人類卻能輕易記住這類密碼。

《華爾街日報》也向資安專家求證,確認門羅這樣的計算沒有問題,這意味著「長又好記的隨機字詞組合」其實會比「英文、數字、奇怪符號混雜的組合密碼」來得安全。

這 20年來,我們成功地訓練大家去使用自己根本記不住,電腦卻很容易猜出來的密碼。

網路漫畫家 門羅
post title

2016年 9月,資安專家賈巴拉(Antoine Vincent Jebara)正在向媒體展示他推出的密碼管理軟體。

路透社

新守則:密碼越長越好,不用太常換

其實在今年 6月,由美國標準與技術協會最新發布的密碼守則中也更改了一些建議,像是盡可能地讓密碼越長越好、使用密碼管理軟體來產生隨機加密密碼。新守則也提到,使用特殊字符不一定會比較安全,還有沒有必要定期更新密碼,除非有人意圖盜用你的帳號。

規範總是隨著知識變化

對於伯爾 15年後的反思,《奧瑞岡人報》認為這其實不是他的問題,因為過去他能依據的只有身為資訊專家的常識,而不像 15年後的現在,我們有了許多數據分析資料,能夠藉此判別怎麼樣的密碼才行得通,這也是為什麼美國標準與技術協會在這 15年來,不斷地修正他們的密碼守則。


延伸閱讀:《個人隱私還是國家安全重要?FBI要蘋果解鎖恐怖分子手機
暗網:伊斯蘭國活動的黑暗網路
人死後,Facebook帳號該怎麼辦?

參考資料:
01 Best practices for passwords updated after original author regrets his advice
02 Widely-used password advice turns out to be wrong: forget special characters, go with long phrase
03 Password guru regrets past advice

加入好友

分享:

  分享這篇文章