什么样的密码最安全？误导全世界十余年后，密码教父忏悔了

新聞 09-15

图片来源：Moment Editorial/Getty Images

记者 Robert McMillan

著名密码管理指南的作者坦承：他错了。

2003年，时任美国国家标准与技术研究院中层主管的比尔·伯尔(Bill Burr)撰写了《NIST特别出版物800-63，附录A》(NIST Special Publication 800-63. Appendix A)。这份指南长达8页，建议用奇怪的字符、大写字母和数字拼凑密码，并且定期更换，保障账户安全。

这份文件成了密码设置的汉谟拉比法典，众多政府机关、学术机构和大型企业在制定密码规则时纷纷效仿。

伯尔表示，其实这份文件中的大多建议都是错的。90天换一次密码？他叹了口气：多数人做的更改微乎其微，很容易猜到。把密码从Pa55word!1改成Pa55word!2，黑客破解简直易如反掌。

还有问题的一条是：密码里要有字母、数字、大写字母和特殊字符（感叹号或者问号之类的）——输入起来简直反人性。

“对以前写的很多东西，我现在感到很遗憾。”伯尔说，他今年72岁，已经退休。

今年6月，NIST发布了《特别出版物800-63》的彻底重修版，删掉了许多严苛的密码戒律。负责新版密码安全草案的是NIST的标准与技术顾问保罗·格拉西(Paul Grassi)，项目进行了两年，他说一开始团队成员都以为只要稍作编辑即可。

“结果我们彻底重写了一遍。”格拉西说。

外界也陆续读到了新版指南，格拉西表示，新版本里删去了密码有效期的说法，也不再要求混合特殊字符。以上规则对账户安全并无用处——它们“实际上还会让密码很不实用。”他说。

负责制定行业标准的美国国家机构NIST表示，较长但好记的短语胜过乱七八糟的字符，而且只有怀疑密码被盗时，才需要强制用户修改密码。

艾米·拉梅尔(Amy LaMere)在明尼阿波利斯一家商展陈列规划公司担任客户资源经理，每个月都要花一个小时记清楚数百个密码，她早就怀疑这完全是浪费时间。“要遵守这套密码规则，密码就更难记了。”她说，“然后我还得定期重置密码，花的时间就更多了。”

不过得知这套密码规则要推翻重来，她倒不生气，说自己这下感觉好多了。“我没说错吧，”谈到以前的规则她如是说，“这么做就是没意义的。”

密码研究人员表示，对于黑客来说，四个单词组成的长密码要比奇怪混乱的短密码难破解，因为一大堆字母就是要比很少的字母、字符和数字难处理。

漫画家兰德尔·门罗(Randall Munroe)有一则广为流传的作品，里面提到，黑客想破解“correct horse battery staple”（正确的马电池订书钉）这个密码，得花550年；而破解典型的伯尔法则式密码Tr0ub4dor&3，只需3天。电脑安全专家也证实了这种说法。

伯尔曾在越战时期为陆军的大型电脑编程，他编写指南时，本想参考现实生活中用户使用的密码数据。但2003年时这类资料很少，而NIST这份指南急于出版，时间很紧迫。

他征询过NIST的计算机管理员，想看看同事们用了什么密码，结果对方以隐

私

为由拒绝。

“他们特别诧异我居然会提出这么个要求。”伯尔说。

没了计算机密码安全的真实数据作为参考，伯尔只能依靠20世纪80年代中期出版的一本白皮书，那时消费者还没开始在线购买DVD和猫粮。

起草这份指南，他已尽其所能。

“到最后，对于大多数人来说，这些规则还是太复杂，太难懂了，而且真相是，我当时并没有找到症结所在。”

虽然如此，NIST的密码指南却影响深远，不光是美国联邦政府，连企业网络、网站和移动设备设置密码时都遵循这套规则。

根据微软首席研究员科马克·赫尔利(Cormac Herley)估算，人类每天输入密码的时间加在一起超过了1,300年。微软一度曾按伯尔的规则设置密码，不过现在改了。

伯尔密码法则的最大争议在于效果不佳。伯尔承认：“它把人们都搞疯了，而且不管你怎么设置，都想不出好密码。”

近十年来，数据外泄愈演愈烈。黑客从MySpace、LinkedIn和Gawker Media等公司盗取了数以亿计的密码，贴在网上。

研究人员也由此获得了充足的数据，他们得以深入了解，人们的密码在黑客破解工具下都有怎样的表现。而结论是：也许我们自以为密码设置得很巧妙，其实不然。我们总爱把老密码用上一遍又一遍。

2003年，伯尔苦于没有数据，无法了解这种现象。而如今，卡内基梅隆大学教授洛里·费斯·克兰纳(Lorrie Faith Cranor)却能把它展现得清清楚楚。多年来，她一直在研究各种差劲密码，2015年，她做了一条蓝紫色直筒连衣裙，上面印了500个最常见的密码，穿着它参加了在斯坦福大学(Stanford University)举办的白宫网络安全峰会。