提出「登入密碼要包含大小寫字母+數字+符號」這個建議的人,說十多年來他大錯特錯

提出「登入密碼要包含大小寫字母+數字+符號」這個建議的人,說十多年來他大錯特錯

提到 Bill Burr 這個名字你可能很陌生,不過,他是2003年美國國家科技與標準協會所制訂的「NIST Special Publication 800-63.附錄A 」這一條目的作者。在當時,這份多達八頁的附錄,講的是網站密碼的制訂參考原則。而這一條目,也從此讓你要上各大網站的時候,總要想破頭去創造出一組你可能下次連上網站就記不得的密碼。

當年的這份附錄,訂下了從此被各大網站密碼視為「聖經」的主要原則,其中最重要的一條就是:

密碼中必須包含有大寫、小寫字母、數字和非字母符號。

 

所以,我們每次登入一個網站,就得想出「Wohao5huA!」或者「P@55w0rd」這樣的密碼,更痛苦的是還必須要記住它。此外,每九十天還得重新再想一個新的。

不過,事實上 Bill Burr 本身的身份並不是電腦工程師,也不是網路安全方面的專家。當時他只是接到了這份命令,然後查閱了一些當時的論文,而且,那些論文還是1980年代的密碼學論文,當時根本還沒有網際網路。而我們就沿用了這個「標準」一直到今天。

現在,Burr 已經退休,而現年七十二歲的他承認,他的建議是錯的,這些辦法實際上不能提高密碼的安全性。相反,這些密碼組合會讓電腦系統更容易受到攻擊,因為當你創造了一個如此記不住的密碼之後,你根本記不住,人是有惰性的,因此往往可以再你的電腦旁邊的筆記本、甚至電腦螢幕上,輕易的找到你的密碼備忘錄。

而且,混雜了數字和符號,其實只是讓人類的大腦難以記憶,在心理上好像比較安全點。但實際上,在越來越快的電腦技術之下,「暴力(brute force)」攻擊依然可以破解。

提出「登入密碼要包含大小寫字母+數字+符號」這個建議的人,說十多年來他大錯特錯

▲XKCD的這則漫畫:透過二十多年的努力,我們終於成功的訓練讓每個人都能設計出對於人類來說很難記得,但是對電腦來說很容易猜中的密碼。

上面這則已經流傳很久的經典XKCD漫畫顯示的,是四組簡單的單字所創造出來的一組密碼,可以讓電腦利用暴力攻擊法花上550年去猜測才能猜中,至於一組利用 Bill Burr 的原則所創造出來的沒有意義的密碼,則大約要花三天可以猜中。在電腦速度越來越快的前提下,這個猜中的時間已經越來越短了。

此外,定期更換密碼的建議也是錯誤的。因為密碼複雜,所以當你更換時,往往只會調整其中一個字母或數字,例如把「Wohao5huA!」改成「Wohao5huA?」。這種更改,對於駭客來說,他要猜中「Wohao5huA!」或是「Wohao5huA?」的難度根本就是一樣的。而且,定期更改密碼對於使用者造成的不便,往往是更多密碼洩露的源頭。

不過,事實上,這些也不能完全說都是 Bill Burr 老先生的錯。十五年前,當時對於密碼以及資訊安全的研究很少,當時對於密碼安全性的看法抱持與 Bill 相同的人也很多,而科學家也總是從錯誤的嘗試中學習到正確的途徑。

現在,美國國家科學技術研究所的線上密碼指南已經更新,並提醒用戶避免傳統的錯誤:

  • 不要在每個網站重複使用相同密碼
  • 結合大小寫字母設置的密碼沒有你想像的安全,沒有太大意義
  • 與其讓用戶選擇那種難記的密碼,不如讓他們起很長的密碼。建議密碼長度延長為從8個字到64個字之間(過去傳統網站規定為8~16個字)
  • 更安全的辦法是,使用雙重驗證,在登入的時候最好得到簡訊的確認。
 

 

資料來源:gizmodonakedsecurity

janus
作者

PC home雜誌、T客邦產業編輯,曾為多家科技雜誌撰寫專題文章,主要負責作業系統、軟體、電商、資安、A以及大數據、IT領域的取材以及報導,以及軟體相關教學報導。

使用 Facebook 留言

Neo_Chen
1.  Neo_Chen (發表於 2017年8月20日 14:52)
他沒錯,我們其實忽略有一種攻擊法,名字叫「字典攻擊法」了。
如果全部使用尋常單字,反而會讓字典攻擊變簡單。
所以,其實兩種方法都有問題
neomush
2.  neomush (發表於 2017年8月22日 12:16)
password like "gre1attr2ipmoun3tainfor4est" should not be hard to remember and might be able to avoid dictionary attack. Simply insert numbers or symbols into regulars words.

發表回應

謹慎發言,尊重彼此。按此展開留言規則