作者：Mia

Photo Credit: Christiaan Colen on Flickr

大家是不是都有这样的经验呢？当你要设定新密码的时候，出现了这样的一行提示：密码长度不得低于8位数、必须同时包含大小写英文、数字、符号，且相同字元不得重复超过3次、英文或数字间不得连续??相信大家都心有戚戚焉，每次碰到这些落落长的要求，心里就有底，这组密码防止自己登入的次数将比防止被盗的次数还来得多。

那你知道这种规则是谁发创造的吗？一切都始于近15年前，一名叫 Bill Burr的美国国家教准技术研究所（NIST，National Institute of Standards and Technology）主管。Bill Burr2013年草拟了一份8页的指南，教大家怎么建立安全的密码，这份文件就叫做“NIST特别刊物800-63.附录 A”。里面建议大家设定密码要用奇怪而无意义的字加上罕见的字元、大写英文和数字，并且时常更换密码。

我们后来常看到的大小写、英数字规范，或多或少就是源自于这份文件，当时 Burr的专业并非资安，而他现在已经72岁，也从研究所退休了。

最近 Bill Burr接受华尔街日报访问，提到了他很后悔也很抱歉为大家带来这么多困扰。尽管这份白皮书是早在一般人还用不到网际网路的1980年代就完成，而且 Burr当时对此研究不深，他还是后悔让大家设下太难懂又难记的密码，而且很多规则可能放错了重点。

基本上，Burr提到的规则并没有错，如果有心人要骇入你的帐号，密码愈复杂、愈违反直觉愈不容易猜中。但他没考虑到，使用者天性最怕麻烦：

“你要他加入大写、符号且90天改一次密码，他就会从 Pa55word!1改成 Pa55word!2。”

最后使用者还是设了超好猜的密码（最常见的密码就是 password），还浪费了一大堆时间。

当然，现在需要设定密码的服务这么多，也已经有很多案例可以事后诸葛，检讨怎么做才可以兼顾“使用者的惰性”因素。电脑运算能力愈来愈强大，逐字去猜密码的暴力破解法所需时间也愈来愈短。就像华尔街日报举例，XKCD的漫画，这些年来使用者已经被训练成会设定人类难懂的密码，但对机器来说却相对好懂。

Photo Credit: XKCD

Tr0ub4dor&3（一串难记的密码，符合各种常见规则）有2的28次方种组合，每秒猜1000次，电脑只要约3天就能猜出来。“correcthorsebatterystaple”（一串用4个随机词组成的密码，没有符合规则），有2的44次方种组合，每秒猜1000次大约需要550年。

在这个例子中，真要人类背的话后面那串荒谬的4组单字密码比较好记，而电脑最会的就是用运算，因此最后的决胜点在于长度。

后来 NIST也更新了他们的指南，从字符规则改为强调密码长度。但这也不能怪 Burr，毕竟科技发展日新月异，大家都是从错中学，就像弹出视窗广告发明人，还有发明 http后面那两条斜线（同时也是发明网路）的 Tim Berners-Lee，他们都曾说对造成众人困扰感到很抱歉，不过他们可都是创造了网路世界基础元素的重要一份子。

• 超微电脑股价涨势强于英伟达 今日起正式纳入标普指数
• 知名视频下载软件 Downie 4 威胁随机删除用户电脑上的文件
• 台湾将成量子科技明日之星！中研院五位元超导量子电脑
• 200万中国老人现状堪忧！吃绝户、夜半喊叫，养老院霸凌何时完；中共开始全面销毁新冠资料，纸上、电脑，都不留；两会在即，北京要驱逐二环内70万外来人口？大陆异议人士又到“旅游季”｜新闻拍案惊奇 大宇
• Windows电脑 微软将强制升级2大版本

• 🔥法国犹太老板：神告诉我们，只有一位中国人能救人类
• 🔥华人必看：中华文化的飓风 幸福感无法描述
• 🔥解锁ChatGPT|全平台高速翻墙:高清视频秒开,超低延迟
• 🔥免费PC翻墙、安卓VPN翻墙APP

来源：inside