|
每次设置一个新帐号,系统总会温馨提示运用者要记得用一组有英数混合、混杂大小写的密码,等到你把帐号设定好,有的网站还会几个月固定提醒你一次“密码太旧了记得改一下喔!”。种种关于网路密码的规定总是令人焦头烂额,不过想到这可能是在保护我们的帐号安全,大多人顶多摸摸鼻子算了,但是,如此杂乱的密码设置程序可能在保护帐号上没什么实质帮助。
现今不同的网络渠道对密码有着各式各样的要求规范 密码规则多 又要固定更改好麻烦在现代生活,设置网路帐号密码总是令人困扰,由于各大网路渠道对于密码的要求都不同,有些渠道又会时不时要求运用者固定更改密码,大大增加了记忆密码的难度。 源自15年前的规范其实这套密码安全守则是源自 2003年,在美国规范与技术协会(National Institute of Standards and Technology, NIST)担任经理的伯尔(Bill Burr)所提出,他当时建议人们在设置密码时,应该运用由英文、数字、奇怪符号稠浊而成的单字(像是把「impressive」改成「1Mpr3$$1v3!」),而且运用者应该要定期更改密码。 伯尔:我后悔自己提出的建议这十几年来,伯尔的建议一直广为政府、公司、教育单位采用,但是在本周一(7),已经退休的伯尔在与《华尔街日报》的访谈直言,他对提出这些建议感到懊悔,也认为自己在保护密码方面搞错了方向。
面临各式各样的密码规范,有些人反而会设置简略好记的字符组合,进而让密码变得更好破解。 对运用者是负担 而且没有比较安全在接受访问时,伯尔指出,依循这些规则设置的密码对运用者来说是种负担,也反而会让骇客更容易破解。 嫌麻烦挑简单的设定 就算常改也没用回头细看这些规则,伯尔建议运用者应该每 90天改一次密码,有的运用者可能会嫌麻烦就把密码从「impressive1」改成「impressive2」,有的运用者则是不知道要设什么密码,就习惯性地运用一些很容易被破解的字符当密码,像是在句末打上「!」、「?」,或是运用常见的「123」数列。而不论是哪种状况,都与「让密码更安全」的主意背道而驰。 到处都用一样的密码此外,虽然把「impressive」改成「1Mpr3$$1v3!」看似把密码变得很难很杂乱,但对人们来说,这种密码反而不容易记忆,倒头来他们不是把密码写在很显眼的地方,就是会在所有网路渠道运用一样的密码。 字符转换有规则 反而容易破解此外,由于英文转换成数字、特殊符号的模式、密码大小写的摆放位置大多有迹可寻,所以对有些骇客、电脑演算法来说,来预测并破解这些密码并不是难事。
一名艺术家替狗狗加上一个“你记得你的密码吗?“对话框。 各种字符混在一同的杂乱密码 3天就可破解其实早在 2011年8月,美国网路漫画家,前NASA机器人专家及程式设计师门罗(Randall Munroe)就在他的兴趣科普网站xkcd以漫画的方式,解释电脑由于可以预期「Tr0ub4dor&3」(编注:troubador的变体)的大小写位置、既定的数字替换模式、常出现的特殊字符,所以只需 3天,就能够轻易破解密码,但是这类密码对人类来说却很难记忆。 把各种单字随机混在一同就很好了但是,如果运用者是用「correcthorsebatterystaple」(正确的马儿电池钉书机)这类随机字词组成的密码,电脑得花上 550年才能顺利破解它,但人类却能轻易记住这类密码。 《华尔街日报》也向资安专家求证,确认门罗这样的计算没有问题,这意味着“长又好记的随机字词组合”其实会比“英文、数字、奇怪符号稠浊的组合密码”来得安全。 这 20年来,我们成功地训练大家去运用自己底子记不住,电脑却很容易猜出来的密码。
| 
发表于 2022-3-16 15:44:03