相關文章

F0b5bf34c40158b5dd83d3d2a32dc9c8 還記得當初提倡要大家將密碼改得越難越好的那位仁兄嗎?他最近表示自己錯了,這麼做並沒有比較好,而且用戶還很難記住這些密碼。現在美國的國家標準技術研究所開始提倡讓用戶利用簡單好記的字母作為密碼,而且越長越好。

美國國家標準技術研究所 (National Institution of Standards and Technology, NIST) 表示,以往用戶使用複雜的組合當作帳戶密碼,例如加入特殊符號、字母大小寫、數字混和使用時,往往到最後反而記不得到底什麼帳號使用了什麼密碼,而且這麼做也不會讓駭客破解的難易度增加。

相反的,根據 NIST 的研究,不過 NIST 要打破一項觀念,就是「密碼不用複雜」,只要夠簡單、夠長、夠好記就可以了。

這裡指的簡單並不是說隨便給一個「apple」、「banana」的單字就好,不,NIST 的意思是要大家能夠想一個只有自己知道的句子或單字組合就好了,NIST 的高級標準和技術顧問保羅 (Paul Grassi) 表示,「只要用戶能夠想到這樣的組合,基本上這就是一組獨一無二的密碼。」此外,密碼越長,相對來說就更難被駭客入侵,相信這已經是基本常識了。但以往因為大家都被要求要設計一套「複雜」的密碼,因此,普遍來說並不會將密碼設定太長 (以免記不住...)。

NIST 的主張,其實簡單來說,就是利用簡單的組合、好記憶、長度來增加密碼的強度,這裡舉例說明一下,比如說用戶可以直接將密碼設成「areyouokfinethankyouandyou」這樣的用語,來幫助自己記憶,這樣的密碼組合對用戶來說夠簡單、好記憶,而在資料保護層面,密碼長度夠長,所以強度也夠。

當然,上面的句子只是用來舉例,民眾可以根據這樣的方向去思考,找出一個屬於自己的「簡單密碼」組合,獨一無二的密碼就是最強的密碼,不管它有多長。(若有網友真的因為上述句子當作密碼結果被盜,恕不負責!)

另外,保羅也表示,大家可能也有固定每 90 天就會換密碼的習慣,但「我很確定你在做這個動作時,只是把其中的幾個字母換掉、或是重新擺一下順序而已。這件事情你知道、我知道,獨眼龍 駭客也知道,所以老實說,這麼做的效果並不大。」

以這樣的邏輯來看,或許 NIST 的新提倡真的會對民眾帳戶、個資有幫助,如果每個人都可以找到一個只有自己知道 (或只有自己懂) 的密碼組合,那基本上,駭客其實很難找到破解的邏輯,畢竟每個人在想的東西都不一樣。

 

參考網站:nprNIST

使用 Facebook 留言

發表回應

謹慎發言,尊重彼此。按此展開留言規則