什麼樣的密碼最安全？誤導全世界十餘年後，密碼教父懺悔了

圖片來源：Moment Editorial/Getty Images

記者 Robert McMillan

著名密碼管理指南的作者坦承：他錯了。

2003年，時任美國國家標準與技術研究院中層主管的比爾·伯爾(Bill Burr)撰寫了《NIST特別出版物800-63，附錄A》(NIST Special Publication 800-63. Appendix A)。這份指南長達8頁，建議用奇怪的字元、大寫字母和數字拼湊密碼，並且定期更換，保障賬戶安全。

這份文件成了密碼設置的漢謨拉比法典，眾多政府機關、學術機構和大型企業在制定密碼規則時紛紛效仿。

伯爾表示，其實這份文件中的大多建議都是錯的。90天換一次密碼？他嘆了口氣：多數人做的更改微乎其微，很容易猜到。把密碼從Pa55word!1改成Pa55word!2，黑客破解簡直易如反掌。

還有問題的一條是：密碼里要有字母、數字、大寫字母和特殊字元（感嘆號或者問號之類的）——輸入起來簡直反人性。

「對以前寫的很多東西，我現在感到很遺憾。」伯爾說，他今年72歲，已經退休。

今年6月，NIST發布了《特別出版物800-63》的徹底重修版，刪掉了許多嚴苛的密碼戒律。負責新版密碼安全草案的是NIST的標準與技術顧問保羅·格拉西(Paul Grassi)，項目進行了兩年，他說一開始團隊成員都以為只要稍作編輯即可。

「結果我們徹底重寫了一遍。」格拉西說。

外界也陸續讀到了新版指南，格拉西表示，新版本里刪去了密碼有效期的說法，也不再要求混合特殊字元。以上規則對賬戶安全並無用處——它們「實際上還會讓密碼很不實用。」他說。

負責制定行業標準的美國國家機構NIST表示，較長但好記的短語勝過亂七八糟的字元，而且只有懷疑密碼被盜時，才需要強制用戶修改密碼。

艾米·拉梅爾(Amy LaMere)在明尼阿波利斯一家商展陳列規劃公司擔任客戶資源經理，每個月都要花一個小時記清楚數百個密碼，她早就懷疑這完全是浪費時間。「要遵守這套密碼規則，密碼就更難記了。」她說，「然後我還得定期重置密碼，花的時間就更多了。」

不過得知這套密碼規則要推翻重來，她倒不生氣，說自己這下感覺好多了。「我沒說錯吧，」談到以前的規則她如是說，「這麼做就是沒意義的。」

密碼研究人員表示，對於黑客來說，四個單片語成的長密碼要比奇怪混亂的短密碼難破解，因為一大堆字母就是要比很少的字母、字元和數字難處理。

漫畫家蘭德爾·門羅(Randall Munroe)有一則廣為流傳的作品，裡面提到，黑客想破解「correct horse battery staple」（正確的馬電池訂書釘）這個密碼，得花550年；而破解典型的伯爾法則式密碼Tr0ub4dor&3，只需3天。電腦安全專家也證實了這種說法。

伯爾曾在越戰時期為陸軍的大型電腦編程，他編寫指南時，本想參考現實生活中用戶使用的密碼數據。但2003年時這類資料很少，而NIST這份指南急於出版，時間很緊迫。

他徵詢過NIST的計算機管理員，想看看同事們用了什麼密碼，結果對方以隱私為由拒絕。

「他們特別詫異我居然會提出這麼個要求。」伯爾說。

沒了計算機密碼安全的真實數據作為參考，伯爾只能依靠20世紀80年代中期出版的一本白皮書，那時消費者還沒開始在線購買DVD和貓糧。

起草這份指南，他已盡其所能。

「到最後，對於大多數人來說，這些規則還是太複雜，太難懂了，而且真相是，我當時並沒有找到癥結所在。」

雖然如此，NIST的密碼指南卻影響深遠，不光是美國聯邦政府，連企業網路、網站和移動設備設置密碼時都遵循這套規則。

根據微軟首席研究員科馬克·赫爾利(Cormac Herley)估算，人類每天輸入密碼的時間加在一起超過了1,300年。微軟一度曾按伯爾的規則設置密碼，不過現在改了。

伯爾密碼法則的最大爭議在於效果不佳。伯爾承認：「它把人們都搞瘋了，而且不管你怎麼設置，都想不出好密碼。」

近十年來，數據外泄愈演愈烈。黑客從MySpace、LinkedIn和Gawker Media等公司盜取了數以億計的密碼，貼在網上。

研究人員也由此獲得了充足的數據，他們得以深入了解，人們的密碼在黑客破解工具下都有怎樣的表現。而結論是：也許我們自以為密碼設置得很巧妙，其實不然。我們總愛把老密碼用上一遍又一遍。

2003年，伯爾苦於沒有數據，無法了解這種現象。而如今，卡內基梅隆大學教授洛里·費斯·克蘭納(Lorrie Faith Cranor)卻能把它展現得清清楚楚。多年來，她一直在研究各種差勁密碼，2015年，她做了一條藍紫色直筒連衣裙，上面印了500個最常見的密碼，穿著它參加了在斯坦福大學(Stanford University)舉辦的白宮網路安全峰會。

卡內基梅隆大學教授洛里·費斯·克蘭納做了一條藍紫色連衣裙，上面印了500個最常見的密碼。圖片來源：Lorrie Cranor

裙子上點綴著全世界最常見的密碼：「公主」、「猴子」、「我愛你」以及一些不便羅列於此的文字，人們仔細端詳，然後覺出尷尬來。

「我把它們展示給大家看，他們的反應是『啊，我得趕緊把密碼給改了。』」克蘭納說。

NIST法則意在讓我們的密碼變得隨機一點。然而它卻催生出了一大片Pa$$w0rd和Monkey1!這種愚蠢套路。「如果你和一萬個人都在用這種密碼，那就不叫隨機了。」微軟研究員赫爾利表示。

負責編寫NIST新版密碼指南的格拉西認為，前同事伯爾對自己的2003版指南太過苛責。

「他寫了一份能用上10到15年的安全文件，」格拉西說：「我倒希望我能寫出這樣的文件來。」

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！