當年的這份附錄,訂下了從此被各大網站密碼視為「聖經」的主要原則,其中最重要的一條就是:
密碼中必須包含有大寫、小寫字母、數字和非字母符號。
所以,我們每次登入一個網站,就得想出「Wohao5huA!」或者「P@55w0rd」這樣的密碼,更痛苦的是還必須要記住它。此外,每九十天還得重新再想一個新的。
不過,事實上 Bill Burr 本身的身份並不是電腦工程師,也不是網路安全方面的專家。
當時他只是接到了這份命令,然後查閱了一些當時的論文,而且,那些論文還是1980年代的密碼學論文,當時根本還沒有網際網路。而我們就沿用了這個「標準」一直到今天。
現在,Burr 已經退休,而現年七十二歲的他承認,他的建議是錯的,這些辦法實際上不能提高密碼的安全性。
相反,這些密碼組合會讓電腦系統更容易受到攻擊,因為當你創造了一個如此記不住的密碼之後,你根本記不住,人是有惰性的,因此往往可以再你的電腦旁邊的筆記本、甚至電腦螢幕上,輕易的找到你的密碼備忘錄。
而且,混雜了數字和符號,其實只是讓人類的大腦難以記憶,在心理上好像比較安全點。
但實際上,在越來越快的電腦技術之下,「暴力(brute force)」攻擊依然可以破解。
上面這則已經流傳很久的經典XKCD漫畫顯示的,是四組簡單的單字所創造出來的一組密碼,可以讓電腦利用暴力攻擊法花上550年去猜測才能猜中,至於一組利用 Bill Burr 的原則所創造出來的沒有意義的密碼,則大約要花三天可以猜中。
在電腦速度越來越快的前提下,這個猜中的時間已經越來越短了。
此外,定期更換密碼的建議也是錯誤的。因為密碼複雜,所以當你更換時,往往只會調整其中一個字母或數字,例如把「Wohao5huA!」改成「Wohao5huA?」。
這種更改,對於駭客來說,他要猜中「Wohao5huA!」或是「Wohao5huA?」的難度根本就是一樣的。而且,定期更改密碼對於使用者造成的不便,往往是更多密碼洩露的源頭。
不過,事實上,這些也不能完全說都是 Bill Burr 老先生的錯。
十五年前,當時對於密碼以及資訊安全的研究很少,當時對於密碼安全性的看法抱持與 Bill 相同的人也很多,而科學家也總是從錯誤的嘗試中學習到正確的途徑。
現在,美國國家科學技術研究所的線上密碼指南已經更新已經更新,並提醒用戶避免傳統的錯誤:
不要在每個網站重複使用相同密碼
結合大小寫字母設置的密碼沒有你想像的安全,沒有太大意義
與其讓用戶選擇那種難記的密碼,不如讓他們起很長的密碼。
結合大小寫字母設置的密碼沒有你想像的安全,沒有太大意義
與其讓用戶選擇那種難記的密碼,不如讓他們起很長的密碼。
建議密碼長度延長為從8個字到64個字之間(過去傳統網站規定為8~16個字)
更安全的辦法是,使用雙重驗證,在登入的時候最好得到簡訊的確認。
更安全的辦法是,使用雙重驗證,在登入的時候最好得到簡訊的確認。
資料來源:gizmodo、nakedsecurity
沒有留言:
張貼留言