北美首頁新聞時尚大陸台灣美國娛樂體育財經圖片移民微博健康

密碼規則煩死人 發明者道歉

http://news.sina.com   2017年08月12日 05:59   中國日報

  (綜合報導)大家是不是都有這樣的經驗呢?當你要設定新密碼的時候,出現了這樣的一行提示:密碼長度不得低於8位數、必須同時包含大小寫英文、數字、符號,且相同字元不得重覆超過3次、英文或數字間不得連續⋯⋯相信大家都心有戚戚焉,每次碰到這些落落長的要求,心裏就有底,這組密碼防止自己登入的次數將比防止被盜的次數還來得多。

  那你知道這種規則是誰發創造的嗎?一切都始於近15年前,一名叫Bill Burr的美國國家教準技術研究所(NIST,National Institute of Standards and Technology)主管。Bill Burr 草擬了一份8頁的指南,教大家怎麼建立安全的密碼,這份檔案就叫做「NIST特別刊物800-63.附錄A」。裏面建議大家設定密碼要用奇怪而無意義的字加上罕見的字元、大寫英文和數字,並且時常更換密碼。

  我們后來常看到的大小寫、英數字規範,或多或少就是源自於這份檔案,當時Burr的專業並非資安,而他現在已經72歲,也從研究所退休了。

  最近Bill Burr接受華爾街日報訪問,提到了他很后悔也很抱歉為大家帶來這麼多困擾。儘管這份白皮書是早在一般人還用不到網際網路的1980年代就完成,而且Burr當時對此研究不深,他還是后悔讓大家設下太難懂又難記的密碼,而且很多規則可能放錯了重點。

  基本上,Burr提到的規則並沒有錯,如果有心人要駭入你的帳號,密碼愈複雜、愈違反直覺愈不容易猜中。但他沒考慮到,使用者天性最怕麻煩:

  「你要他加入大寫、符號且90天改一次密碼,他就會從Pa55word!1改成Pa55word!2。」

  最后使用者還是設了超好猜的密碼(最常見的密碼就是password),還浪費了一大堆時間。

  當然,現在需要設定密碼的服務這麼多,也已經有很多案例可以事后諸葛,檢討怎麼做才可以兼顧「使用者的惰性」因素。電腦運算能力愈來愈強大,逐字去猜密碼的暴力破解法所需時間也愈來愈短。就像華爾街日報舉例,XKCD的漫画,這些年來使用者已經被訓練成會設定人類難懂的密碼,但對機器來说卻相對好懂。

  Tr0ub4dor&3(一串難記的密碼,符合各種常見規則)有2的28次方種組合,每秒猜1000次,電腦只要約3天就能猜出來。「correcthorsebatterystaple」(一串用4個隨機詞組成的密碼,沒有符合規則),有2的44次方種組合,每秒猜1000次大約需要550年。

  在這個例子中,真要人類背的話后面那串荒謬的4組單字密碼比較好記,而電腦最會的就是用運算,因此最后的決勝點在於長度。

  后來NIST也更新了他們的指南,從字元規則改為強調密碼長度。但這也不能怪Burr,畢竟科技發展日新月異,大家都是從錯中學,就像彈出視窗廣告發明人,還有發明http后面那兩條斜線(同時也是發明網路)的Tim Berners-Lee,他們都曾说對造成衆人困擾感到很抱歉,不過他們可都是創造了網路世界基礎元素的重要一份子。

Bookmark and Share
|
關閉
列印
轉寄
去論壇發表評論