設個密碼要大小寫,還要數字加符號?當年發明的人表示:對不起,我錯了

【我們為什麼挑選這篇文章】

長久以來,資安界以及許多普羅大眾都聽說過,密碼太簡單會被破解,最好應該混入大小寫英文、數字與特殊符號,更應該經常性的更換,避免遭到破解,而至少在理論上這樣「應該」就比較不會被破解了,對吧?

當年發明這套「複雜密碼」規範的人,如今出面坦承:我錯了!到底他錯在哪了呢?

其實,我覺得說來說去,科技始終來自於人性,但沒說的是,成也人性,敗也人性乎。

(責任編輯:林厚勳)

Bill Burr 在 2003 年為美國政府工作時,寫下了密碼安全領域的「聖經」:使用大寫字母、數字和非字母符號,原因是,複雜的密碼難以被猜到;另外,Burr 也建議經常更換密碼。

所以,Burr 是下列事情的始作俑者:迫使我們想出「Wohao5huA!」或者「P@55w0rd」這樣折磨打字人的密碼;迫使我們記住像「Uj3k@u90」這樣的系統分配密碼;根據公司 IT 部門的要求,90 天,更換一次密碼。

「我錯了,科技輸給人性」

現在,Burr 承認,他的建議是錯的,這些辦法實際上不能提高密碼的安全性。相反,這些密碼組合會讓電腦系統更容易受到攻擊,因為用戶在創造了一個複雜密碼之後,會重複使用這些密碼,或者為了防止遺忘,會寫下來貼到電腦旁邊。而且,數字和符號的加入並沒有讓電腦更加免疫於黑客嘗試所有組合可能性的「強力(brute force)」攻擊。

定期更換密碼的建議也是錯誤的。因為密碼複雜,所以用戶只會更換其中一個字母或數字,例如把「Wohao5huA!」改成「Wohao5huA?」。這種更改對阻止黑客來說毫無意義。而且,定期更改密碼引起的不便比有限的密碼安全更糟糕。

全球電商大趨勢下,你屬於 哪一種競爭類型

新的密碼指南

現在,美國國家科學技術研究所的線上密碼指南已經更新,並提醒用戶避免傳統誤區:

1. 不要重複使用密碼

2. 結合大小寫字母設置的密碼沒有你想像的安全,沒有太大意義

3. 更好的選擇是那些長但是易記的密碼,或者密碼短語:「yinglianxunguimo(營練訓鬼魔)」比「Wohao5huA!」這個密碼難破解的多。

4. 另外,更安全的辦法是,使用雙重驗證,在登入的時候最好加上簡訊確認。

數億人在過去 10 多年間遵循了這個看似有道理的密碼原則,但是卻沒有考慮到行為因素的疊加。 我從沒意識到密碼安全包括了密碼本身的安全,還有我們對待密碼的態度和使用方式。 對於產品經理來說,這個經驗很重要:如果產品不夠簡單,那麼用戶可能根本不會按照預想的方式使用這個產品。

只是,對於普通用戶來說,我很難想像生活中還有多少我們完全不懂為什麼但是還依然遵照的原則。

(本文經合作夥伴 36 氪 授權轉載,並同意 TechOrange 編寫導讀與修訂標題,原文標題為 〈 密碼要包含大小寫字母+數字+符號,提這個建議的人剛剛承認他錯了 〉。)

迎戰電商市場,最適合你的決勝經營戰技是什麼, 立即測驗 找出你的經營盲點!

延伸閱讀

勿再用「123456」當密碼了!帳戶安全小技巧,讓你不用像臉書創辦人一樣帳號被駭
【不改革不行】工作前還要花半天記密碼,公務革新力量聯盟推系統改革
中國發射第一個量子實驗衛星「墨子號」,將暴力破解現有密碼學


你對製作這些科技趨勢內容有興趣嗎?
想從 TO 讀者變成 TO 製作者嗎?
 對內容策展有無比興趣的你,快加入我們的編輯團隊吧!

TechOrange 社群編輯擴大徵才中 >>  詳細內容 

 意者請提供履歷自傳以及文字作品,寄至 jobs@fusionmedium.com
 來信主旨請註明:【應徵】TechOrange 職缺名稱:您的大名 

點關鍵字看更多相關文章: