最新網際網路文章

Image credit: canbedone via Getty Images

让我们受苦于想出复杂密码的始作俑者,说他也后悔了...

而且 NIST 也在草拟新的密码安全性建议。

Eric Chan
2017 年 8 月 9 日, 傍晚 09:00
canbedone via Getty Images
每一次收到 IT 部门的一封更改密码提醒,相信大家都只会叫苦连天吧,到底要如何想出一个包括大小阶、特别字元和数字的密码组合,而且又不可以跟上一组太相似... 好吧,提出这样复杂的密码安全性建议的人,也公开地表示后悔了!

美国国家标准与技术研究所(NIST)经理 Bill Burr 在 2003 年交出了一份密码安全性建议,上面建议密码应该要有大小写、特别字元和数字,而且还不忘提醒密码应该定期更改。这样的建议就成了诸多政经机构在要求使用者设置密码时的规则。可是现年 72 岁的 Burr 在与华尔街日报的访问中,却说他对此一切都后悔了。

幸好 NIST 正在检讨这个「扰民」的密码规则,而且也快要完成了。其中一个重要的改变是,只有出现某程度的保安漏洞时,才强制要求使用者更改密码。说实话,要人在每 90 天就想一组那么复杂的密码,很多都是敷衍了事,这样反而有着增加危险性的可能。

另外一个建议就是多用较长的短语,而非一串由大小写、特别字元和数字组成的短密码,因为他们发现这样强行加入特殊字元,反倒会得出更低安全性的密码。而且草拟的建议中,还有建议不要跟那些常用密码重复。

有兴趣的朋友可以到 NIST 网页中查看这草拟中的密码组成建议,不过这建议也非强制式,所以也要看部门的 IT 主管要否应用了。