密碼政策專家 後悔倡議密碼每90天改一次 有%&?符號其實沒用
在電腦用戶的10幾年歷程裏,密碼好少可會沒有大小寫字母、特殊符號和數字,經常更換密碼更被形容為保護賬戶安全的「不二法門」。不過當初制定政策的伯爾稱,自己「很後悔」當初建議。
如今,美國不再建議用戶使用特殊符號和頻繁更換密碼,反建議應該用多個簡短單詞組成的長密碼更為安全。
密碼包含大小寫字母、數字和特殊符號的要求源於2003年。當時美國國家標準與技術研究所(NIST)公布了設定電腦密碼的範例文件(NIST Special Publication 800-63),建議用戶使用複雜字符組成的密碼,並建議用戶每90天更換一次電腦密碼,聲稱此舉能防止黑客駭取密碼。
此標準更被全球多間電腦公司採用,更成為不少電腦用家的「金科玉律」。但依然無法阻止近年全球多宗用戶密碼被盜取事件,安全性亦飽受質疑。
建議制定者後悔當初決定
14年過去後,當時制定政策的伯爾(Bill Burr)已經退休,他接受《華爾街日報》訪問時稱,「後悔」(Regret)自己當年提出的密碼建議。他稱,大眾誤解了當初的建議,以為經常更換密碼只需要更換密碼中的個別字符,而不是當初設定的原意更換整組或大部分的密碼字符。伯爾稱,若把密碼從「%Password!1」更換成「%Password!2」,不會減少密碼被駭的可能性。
除更換密碼無助提高賬戶安全性外,由包含大小寫字母、特殊符號等組成的複雜密碼安全性亦存疑。有研究團體曾按伯爾的密碼制定要求設定密碼,如「Tr0ub4dor!3」,結果僅用3日就已經順利破解。
我以前所做的很多事情,現在卻後悔了.....(設定複雜密碼)只會讓用戶抓狂,無論你怎麼做,他們也不會選擇好的密碼。
新建議:設定易記長密碼 不再要求經常換密碼
複雜密碼不合時宜,但設置長密碼仍是保障賬戶安全的重要一步。早前已經有研究指出,密碼的安全性與長度有關,越長的密碼越難破解。用多個4字英語單詞組成的密碼,如「pickduckdeskhairnote」,會比多字符組成的較短複雜密碼「Password!#2」更為安全。
今年6月,標準與技術研究所(NIST)更新了密碼制定指引(Special Publication 800-63),建議用戶設立由多個簡單短語組成的長密碼,不再建議在密碼中使用特殊符號和頻繁更換密碼,提議用戶僅在察覺自己的賬戶有不正常的登入行為後,才需要更換一個新的密碼。
(綜合報道)