你之前遵守的密碼規則都錯了 長短語才是硬道理

如果你經常上網，並比較關心密碼安全的話，你肯定看見過不少如何設置密碼的建議。這些建議大多來自2003年時任美國國家標準與技術研究院中層主管的比爾·伯爾(Bill Burr)撰寫了《NIST特別出版物800-63，附錄A》。在這份指南中，作者建議使用奇怪的字元、大小寫字母和數字運用拼湊密碼，而且最好定期更換。

經濟日報-中國經濟網科技頻道近期注意到，撰寫該指南的作者近期表示，之前的關於設置密碼的建議並不正確。今年6月該機構發布了重新修訂的關於設置密碼的建議，該團隊本來以為僅僅需要將原來的建議做簡單修改即可，但隨著研究的進行，發現之前的建議幾乎全都是不正確的。

之前的建議中曾建議用戶每90天更換一次密碼，但在實際當中，很多人要不忽略這一條，要不每次更改做出的改變都十分微小，如果有人知道之前的密碼，更改過的密碼也很容易被猜到。比如把「Mima！01」改為「Mima！02」，破譯這種更改非常容易。新版本當中已經去掉了這條建議。此外關於使用混合字元的建議也被取消了。

根據最新的研究，字元長度和安全度相關性較高，也就是說越長的密碼越安全。外國曾有一則頗受歡迎的漫畫，裡面提到，如果想要破解「correct horse battery staple」（正確的馬電池訂書釘）需要花費550年；而破解典型的安全密碼「Tr0ub4dor&3」只需要3天。很多電腦安全專家證實過這個說法。

現在的建議還去掉了關於定期更換密碼的建議，新的建議是，除非你覺得你的密碼已經不安全了，否則你不需要更換密碼。

之前的密碼建議之所以「不靠譜」也是有歷史原因的，伯爾表示在撰寫那份指南時，還是2003年，當時可以參考的數據實在太少了。伯爾曾經向同事們索要密碼以研究，但是被同事們以隱私為由拒絕了。最終，伯爾只能在沒有實際密碼數據作參考的情況下撰寫那份密碼設置指南。

伯爾密碼規則最大的問題在於效果不好，雖然它有十分複雜的規則，但是實際使用中卻不能保證密碼的安全性，反而因為複雜的規則，給使用者帶來了不必要的麻煩。在網路安全越來越重要的今天，研究密碼的專家們有了更多的數據幫助他們判斷該如何制定密碼。

卡內基梅隆大學的一位教授多年以來致力於研究差勁的密碼，2015年，她用500個常見的密碼製作了一條藍紫色連衣裙，並穿著它參加了斯坦福大學舉辦的白宮網路安全峰會。裙子上有著世界上最常見的密碼「123456789」、「nicole」、「iloveyou」等。

經濟日報-中國經濟網科技頻道發現，常用密碼是這世界上最不安全的密碼了，如果你的密碼屬於500個常用密碼之一，哪怕它完全符合伯爾規則，任何一個黑客也僅需要500就能試出你的密碼。

新版密碼指南的負責人聽到伯爾的自責後表示，他對自己製作的2003版指南苛責太多，「他寫了一份能使用10至15年的安全文件，我希望我也能做到這一點。」（王蔚）

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！