現代密碼要求數字與字母混合、大小寫，發明者很後悔

現代密碼要求超過一定長度的數字及字母、有的要求大小寫、還要90天更新，令使用者困擾不已。現在，發明這項密碼規則的人對此感到抱歉。而今年NIST也更新了密碼的要求。

前全國標準與技術協會（National Institute of Standards and Technology, NIST）擔任經理時提出這項規則的Bill Burr本周在接受華爾街時報訪問時如此表示。

2003年他和一群學者撰寫了NIST特別出版論文800-63號的《電子驗證指導原則》，其中在附件A列出了密碼要求，包括大寫字母、非數字的符號，以及最少一個數字等規則。他甚至還建議最好定期更換密碼。他在訪問中表示對當時做的事感到歉意，表示這些規則對大部份使用者來說太複雜，而且對於強化安全性，這種作法也是方向搞錯了。 

因為NIST制訂的密碼原則廣為企業、學校及政府機關採用，也使得取、記密碼成了絕大多數人的夢魘。由於記不住密碼，大部份使用者則發展出寫在便利貼貼在螢幕上、或是乾脆取「password」及「123456」等密碼，這類字串已經蟬連數年最常用密碼的前幾名。 

也有人因此發展出P@ssW0rd123!這種兼具大小寫、並以數字及符號取代字母的密碼規則，然而重複使用這種規則的結果是駭客更容易預測及破解密碼。

2011年一則經典的xkcd漫畫就道出破解這類密碼並不難。一個Tr0ub4dor&3由於符合大小寫、數字替換及特殊符號運用的規則，以電腦破解只要3天即可，但簡單而有意義的字串反而需要550年，漫畫並寫著：人類花了20年終於成功訓練每個人使用一種人類記不住，但電腦很容易猜出的密碼。  

NIST在今年6月頒佈了由Paul Grassi擔任技術顧問撰寫的新一批安全文件，包括數位身份與驗證及生命周期管理等指導原則，則將密碼規則修正，例如將一些使用者可記憶的文字組成字串的密詞（passphrase），像是Puffineatingbanana，人類容易記憶，但電腦得花數百萬年才破解得了。文件指出，密詞和密碼用途類似，但通常長度更長也更安全。 

提出「登入密碼要包含大小寫字母+數字+符號」這個建議的人，說十多年來他大錯特錯

提到 Bill Burr 這個名字你可能很陌生，不過，他是2003年美國國家科技與標準協會所制訂的「NIST Special Publication 800-63.附錄A 」這一條目的作者。在當時，這份多達八頁的附錄，講的是網站密碼的制訂參考原則。而這一條目，也從此讓你要上各大網站的時候，總要想破頭去創造出一組你可能下次連上網站就記不得的密碼。

當年的這份附錄，訂下了從此被各大網站密碼視為「聖經」的主要原則，其中最重要的一條就是：

密碼中必須包含有大寫、小寫字母、數字和非字母符號。

所以，我們每次登入一個網站，就得想出「Wohao5huA!」或者「P@55w0rd」這樣的密碼，更痛苦的是還必須要記住它。此外，每九十天還得重新再想一個新的。

不過，事實上 Bill Burr 本身的身份並不是電腦工程師，也不是網路安全方面的專家。當時他只是接到了這份命令，然後查閱了一些當時的論文，而且，那些論文還是1980年代的密碼學論文，當時根本還沒有網際網路。而我們就沿用了這個「標準」一直到今天。

現在，Burr 已經退休，而現年七十二歲的他承認，他的建議是錯的，這些辦法實際上不能提高密碼的安全性。相反，這些密碼組合會讓電腦系統更容易受到攻擊，因為當你創造了一個如此記不住的密碼之後，你根本記不住，人是有惰性的，因此往往可以再你的電腦旁邊的筆記本、甚至電腦螢幕上，輕易的找到你的密碼備忘錄。

而且，混雜了數字和符號，其實只是讓人類的大腦難以記憶，在心理上好像比較安全點。但實際上，在越來越快的電腦技術之下，「暴力（brute force）」攻擊依然可以破解。

上面這則已經流傳很久的經典XKCD漫畫顯示的，是四組簡單的單字所創造出來的一組密碼，可以讓電腦利用暴力攻擊法花上550年去猜測才能猜中，至於一組利用 Bill Burr 的原則所創造出來的沒有意義的密碼，則大約要花三天可以猜中。在電腦速度越來越快的前提下，這個猜中的時間已經越來越短了。

此外，定期更換密碼的建議也是錯誤的。因為密碼複雜，所以當你更換時，往往只會調整其中一個字母或數字，例如把「Wohao5huA!」改成「Wohao5huA？」。這種更改，對於駭客來說，他要猜中「Wohao5huA!」或是「Wohao5huA？」的難度根本就是一樣的。而且，定期更改密碼對於使用者造成的不便，往往是更多密碼洩露的源頭。

不過，事實上，這些也不能完全說都是 Bill Burr 老先生的錯。十五年前，當時對於密碼以及資訊安全的研究很少，當時對於密碼安全性的看法抱持與 Bill 相同的人也很多，而科學家也總是從錯誤的嘗試中學習到正確的途徑。

現在，美國國家科學技術研究所的線上密碼指南已經更新，並提醒用戶避免傳統的錯誤：

• 不要在每個網站重複使用相同密碼
• 結合大小寫字母設置的密碼沒有你想像的安全，沒有太大意義
• 與其讓用戶選擇那種難記的密碼，不如讓他們起很長的密碼。建議密碼長度延長為從8個字到64個字之間（過去傳統網站規定為8~16個字）
• 更安全的辦法是，使用雙重驗證，在登入的時候最好得到簡訊的確認。

使用雙重驗證？這應該也沒什麼效果！

就跟你說別再設「123456」了！2017年度最不安全密碼排行榜出爐

密碼安全公司SplashData剛公布，今年再次由「123456」奪冠。統計資料來源是逾500萬組遭駭外洩的密碼，主要來自北美及西歐，未納入Yahoo及成人網站外流的資料。

儘管近幾年發生許多帳號資料外洩事件，其中甚至、等知名公司，許多人仍處變不驚，繼續使用強度低、易被猜中的密碼。據SplashData估計，約有一成用戶使用了榜單前25名密碼中至少一組。

過去幾年最「熱門」的密碼「123456」、「password」，今年依舊佔居冠、亞軍寶座。第3至第10名，依序為「12345678」、「qwerty」、「12345」、「123456789」、 「letmein」、「1234567」、「football」、「iloveyou」。此外，常用單字如「welcome」、「monkey」，以及星際大戰「starwars」也都名列前茅。

SplashData CEO摩根·斯萊恩（Morgan Slain）提醒，駭客會用流行文化、運動等各種常用字詞來破解帳號，因為他們很清楚大家會選用好記的單字。如果是由單一字詞或連續數字組成的密碼，其實很容易就被破解。

密碼安全小技巧

1. 不重複使用同組密碼：不同網站帳號應採用不同密碼，且應避免使用常用單字、連續數字等過於簡單的字串。

2. 用「句子」轉成密碼：利用個人化的句子，轉成好記又安全的密碼。舉例來說，可以把「I moved to Taipei in December 20, 2017」轉成字串「Im2TpiD2,2017」。

3. 善用密碼管理工具：市面有許多應用工具能針對不同網站隨機產生密碼，並幫助使用者輕鬆管理多組密碼，例如：、、、、等。

4. 啟用兩階段驗證：透過增加手機認證碼等兩階段方式保護帳號。

5. 填寫安全設定檢查：檢查帳號安全性，並小心設定「安全問題」及答案，以免他人透過密碼救援輕易破解。

過去幾年最「熱門」的密碼「123456」、「password」？這不是「過去幾年」而是過去幾十年～未來幾百年，密碼永遠都必須要用「123456」、「password」才對！