現在每次要設定新密碼,都會有一些規定要遵守,例如長度要多於 8 個字、必須包含大小寫、要加入數字和符號,以及不可以重複和連續等等,結果多數都是難以記住的密碼。發明這個規則的人最近接受訪問時表示自己也很後悔,對浪費大家的時間感到抱歉。
這些規則大部分都是來自 15 年前,美國教準技術研究所 (NIST) 主管 Bill Burr 所草擬的指南,當中列明如何建立安全的密碼,之後這些規則逐漸為人熟知,至今仍然受到大部分網站所採用。不過目前對於密碼的認知已經改變,這些規則其實並沒有太大作用,因此免密碼的認證方式逐漸開始普及。
Bill Burr 早前接受訪問,表示這些規則其實是互聯網還沒有普及的年代寫成,當年也沒有考慮到用戶的習慣,現在想起來都有後悔。他表示,雖然規則本身確實能夠增加黑客猜中密碼的難度,不過同一時間用戶如果經常要修改密碼,就會變得懶惰:「要求用戶加入大寫和符號,而且要 90 天改一次密碼,用戶就會從 Pa55word!1 改成 Pa55word!2。」結果而言這些密碼仍然容易猜出,加上現在黑客都是用電腦程式來暴力破解密碼,這些難明的密碼對電腦而言並沒有分別,反而要增加安全性,應該增加長度。
來源:WSJ