文/深海大花枝
你都怎麼設定自己的密碼?老實說,使用者都是懶惰的,從歐美研究出最常見的密碼是「mypassord」、「1234qwer」,再到台灣常見的「ji32k7au4a83」(注音→我的密碼)......這些組合拿去到處試一試,說不定可以猜出你1/3小學同學的FB密碼。
所以,很多網站會做出複雜的要求:「您的密碼應該包含大小寫英文及數字及符號及.....」結果,這種做法不但煩人,還沒用。
Bill Burr在2013年,擬定了一份長達8頁的密碼指南,建議設定密碼時,應該要用無意義、奇怪的字,配合罕見的字元、大小寫符號英數混合......還要常常更換密碼。
Bill Burr曾是美國國家教準技術研究所(NIST, National Institute of Standards and Technology)的主管,所以當他給出這份建議,大家當然都認為很有參考價值。
實際上,Bill的建議,的確符合那個背景時空的需要,並非沒有意義。只是人算不如天算,他沒有想到的是,使用者究竟有多懶。
如果你要求使用者每隔一陣子就要換密碼,那他們大概也只是把「Password_1」換成「Password_2」,至於那些認真設計難記密碼的人,則是很容易就會忘記自己的密碼。
就算當時複雜的密碼真的對安全性有幫助,也很容易因為人性而「卡關」。Bill Burr在2017年接受華爾街日報訪問,就說了他「真抱歉為大家帶來這麼多困擾」。
不過呢,隨著時代進步、電腦的運算效能變好,現在其實有更方便的方式,來設計安全的密碼。
看上面的漫畫舉例,你就知道了。
比如說你把密碼設成有夠難記的「Tr0ub4dor&3」,雖然符合規則,看起來也很安全,但其實如果讓電腦暴力運算猜碼,每秒猜1000次的話,這個密碼「只有」2的28次方種組合,電腦大約3天就可以破解你的密碼
可是換成「correcthorsebatterystaple」,你只要記得4個英文單字,就可以有一個有2的44次方種組合的密碼。同樣讓電腦每秒猜1000次,猜中你的密碼,要花掉550年。
只要長度夠長,電腦就很難暴力破解你的密碼,所以基本上,你只要想四個英文單字、把他們接在一起,這個密碼就挺安全的。NIST的確更新了他們的密碼指南,從建議符合字符規則,改成建議大家注意密碼長度。
至少看完這篇文之後,你應該不會想再用那堆複雜或莫名其妙的字串當密碼了。
【花枝與小夥伴的愉快日常】←從深海來到陸上工作的花枝枝,擅長吐槽,最喜歡寫奇奇怪怪的東西。今天也為了海陸交流而努力發文,快來參觀花枝家吧!
[via WSJ]
