現時使用各種網上服務時,在開設帳號時通常都要先設定一組密碼,不過這個動作往往會令人感到頭痛,因為在創建密碼時,除最少字符外,大多數系統都會要求密碼要由英文字母及數字組成,有些甚至更在開頭採用大楷字母,或加入特殊字符等。而 14 年前發明這種規則的 Bill Burr,最近就承認這種標準基本上沒有用,並對用家造成困擾感到十分抱歉。
Bill Burr 過去曾擔任美國國家標準與技術研究所(NIST)經理一職,而在 2003 年時,他就起草了一份如何創建安全密碼的指南,而該份文件名為「NIST Special Publication 800-63. Appendix A.」,當中正正就包含了大楷字母、特殊字符及數字等規則,而自此之後各大登入頁面,比如電子郵件及網上銀行帳號等,在建立密碼時都要跟隨這些規則。
雖則提高密碼安全性原意是好,但 Burr 最近接受華爾街日報訪問時就表示,其實他當年編寫指南對密碼的範疇並不太了解,而且自己亦並非保安專家,而他參考的密碼研究,主要是來自 1980 年代一份白皮書,而當時互聯網仍未發明。Burr 指出這些規則令密碼變得複雜,而且在保安方面其實沒有太大作用,比如專門解答科學問題的 XKCD,就曾指出,一個用無意義隨機字符組成的密碼,只需 3 日便可破解;但一串較長而用較易單詞組成的密碼,比如用四個簡單單詞組成,就可能要用 550 年才能破解到。
來源:The Wall Street Journal