15年前發明煩死人的密碼規則 Bill Burr表示抱歉浪費了大家的時間

2023.10.26 08:53PM
照片中提到了輸入您的密碼、顯示密碼、Google,跟谷歌有關,包含了顯示您的密碼、密碼、Google Workspace、Google帳號

相信大家都心有戚戚焉,每次碰到這些落落長的要求,心裡就有底,這組密碼防止自己登入的次數將比防止被盜的次數還來得多。

大家是不是都有這樣的經驗呢?當你要設定新密碼的時候,出現了這樣的一行提示:密碼長度不得低於8位數、必須同時包含大小寫英文、數字、符號,且相同字元不得重複超過3次、英文或數字間不得連續⋯⋯ 相信大家都心有戚戚焉,每次碰到這些落落長的要求,心裡就有底,這組密碼防止自己登入的次數將比防止被盜的次數還來得多。

那你知道這種規則是誰創造的嗎?一切都始於近15年前,一名叫Bill Burr的美國國家教準技術研究所(NIST, National Institute of Standards and Technology)主管。Bill Burr 2003年草擬了一份8頁的指南,教大家怎麼建立安全的密碼,這份文件就叫做「NIST特別刊物800-63. 附錄A」。裡面建議大家設定密碼要用奇怪而無意義的字加上罕見的字元、大寫英文和數字,並且時常更換密碼。

我們後來常看到的大小寫、英數字規範,或多或少就是源自於這份文件,當時Burr的專業並非資安,而他現在已經72歲,也從研究所退休了。

最近Bill Burr接受華爾街日報訪問,提到了他很後悔也很抱歉為大家帶來這麼多困擾。儘管這份白皮書是早在一般人還用不到網際網路的1980年代就完成,而且Burr當時對此研究不深,他還是後悔讓大家設下太難懂又難記的密碼,況且其中很多規則可能放錯了重點。

基本上,Burr提到的規則並沒有錯,如果有心人要駭入你的帳號,密碼愈複雜、愈違反直覺愈不容易猜中。但他沒考慮到,使用者天性最怕麻煩:

「你要他加入大寫、符號且90天改一次密碼,他就會從Pa55word!1改成Pa55word!2。」

最後使用者還是設了超好猜的密碼(最常見的密碼就是password),還浪費了一大堆時間。

當然,現在需要設定密碼的服務這麼多,也已經有很多案例可以事後諸葛,檢討怎麼做才可以兼顧「使用者的惰性」因素。 電腦運算能力愈來愈強大 ,逐字去猜密碼的暴力破解法所需時間也愈來愈短。就像華爾街日報舉例,XKCD的漫畫,這些年來使用者已經被訓練成會設定人類難懂的密碼,但對機器來說卻相對好懂。

▲圖片來源:XKCD

Tr0ub4dor&3(一串難記的密碼,符合各種常見規則)有2的28次方種組合,每秒猜1000次,電腦只要約3天就能猜出來。「correcthorsebatterystaple」(一串用4個隨機詞組成的密碼,沒有符合規則),有2的44次方種組合,每秒猜1000次大約需要550年。

在這個例子中,真要人類背的話後面那串荒謬的4組單字密碼比較好記,而電腦最會的就是用運算,因此最後的決勝點在於長度。

後來NIST也更新了他們的指南,從字符規則改為強調密碼長度。但這也不能怪Burr,畢竟科技發展日新月異,大家都是從錯中學,就像彈出視窗廣告發明人,還有發明http後面那2條斜線(同時也是發明網路)的Tim Berners-Lee,他們都曾說對造成眾人困擾感到很抱歉,不過他們可都是創造了網路世界基礎元素的重要一份子。 

41 則回應

  • 臺灣本土外送y55483 TG:SW77520
    你不主動 我也不主動 我們的故事怎麽開始
    2023-12-24
  • 臺灣本土外送y55483 TG:SW77520
    2023-12-24
  • 有人接單嗎,接一下我的孤單+賴77675
    2023-12-24
  • 我只記常用且最重要的
    其他零散的都直接用亂碼不背也都不一樣
    然後用google的密碼記憶登入
    不然就每次都忘記密碼用一組新的亂碼
    反正登入就那幾次 沒必要特別記一組新的
    也不要全部都用同一組 容易一次全倒(帳號全盜)
    2023-10-31
  • 我覺得密碼規則倒是沒差,但發明這個的請下地獄好嗎?
    2023-10-31
  • 我只記常用且最重要的
    其他零散的都直接用亂碼不背也都不一樣
    然後用google的密碼記憶登入
    不然就每次都忘記密碼用一組新的亂碼
    反正登入就那幾次 沒必要特別記一組新的
    也不要全部都用同一組 容易一次全倒(帳號全盜)
    2023-10-31
  • 我覺得密碼規則倒是沒差,但發明這個的請下地獄好嗎?
    2023-10-31
  • 我只記常用且最重要的
    其他零散的都直接用亂碼不背也都不一樣
    然後用google的密碼記憶登入
    不然就每次都忘記密碼用一組新的亂碼
    反正登入就那幾次 沒必要特別記一組新的
    也不要全部都用同一組 容易一次全倒(帳號全盜)
    2023-10-31
  • 強迫user取一個根本記不住的密碼,再來花錢搞簡訊驗證,老闆們的心思真猜不透
    2023-10-30
  • 拜託去跟我老闆說
    2023-10-30
  • 拜託去跟我老闆說
    2023-10-30
  • 為了安全性寫出福雜的密碼規則
    結果就是平台跟帳號一多 沒幾個能記住的
    相隔1個多月沒用的基本上都忘光了
    每天用的因為一直都是登入狀態
    所以基本上也沒在記密碼
    2023-10-30
  • 拜託去跟我老闆說
    2023-10-30
  • 為了安全性寫出福雜的密碼規則
    結果就是平台跟帳號一多 沒幾個能記住的
    相隔1個多月沒用的基本上都忘光了
    每天用的因為一直都是登入狀態
    所以基本上也沒在記密碼
    2023-10-30
  • 連續輸入錯3次就被鎖定了,每秒一千次根本就是假議題
    2023-10-30
  • 我最度爛還有限字數的⋯
    2023-10-30
  • 每一家要設定的不一樣
    英文加數字 有些還要大寫
    然後又限制一堆

    最後只防了自己....按下了忘記密碼
    然後沒多久 申請新帳號
    2023-10-30
  • 請馬上切腹謝罪
    2023-10-30
  • 都舊聞了 Google 微軟還是一堆這種規則
    2023-10-30
  • 其實,我最困惑的是,按了密碼登入不了,於是按忘記密碼重新設定,在設定密碼時,又跳出不能輸入和之前一樣的密碼????????
    2023-10-30
  • 直接用倉頡碼多好啊 搞出來個要求大小寫和符號直接把我搞瘋
    2023-10-30
  • 規則怪談
    2023-10-30
  • 密碼都是用來防自己的
    2023-10-30
  • 最困擾我的是這個
    2023-10-29
  • (舉手)我連寶可夢寶貝們的名字都用過。
    2023-10-29
  • 無所謂。
    注音輸入是無敵亂碼。
    2023-10-29
  • 我以為是他
    2023-10-29
  • 禍害遺千年了
    2023-10-29
  • 這個遊戲就是在臭他。
    youtu.be/dSjVajQpt7g?feature=shared
    2023-10-28
  • 他還不快去死?
    2023-10-28
  • Hank Tseng
    2023-10-28
  • 浪費時間
    2023-10-28
  • 一堆企業還是一樣政策阿
    2023-10-28
  • 他還不快去死?
    2023-10-28
  • Hank Tseng
    2023-10-28
  • 這個才浪費我的時間
    2023-10-28
  • 連密碼設計者都認識到自己的錯誤了,偏偏一堆網站還在需要大寫英文跟符號,密碼原則就是越多字越不容易破解,其他原則都是屁
    2023-10-28
  • 看標題還以為是講脫口秀那個創的
    2023-10-27
  • 看標題還以為是講脫口秀那個創的
    2023-10-27
  • 不會😊,去門口跪主機板....尤其是apple ID,當然安全(因為連自己都背不起來).......
    2023-10-27
  • 不會😊,去門口跪主機板....尤其是apple ID,當然安全(因為連自己都背不起來).......
    2023-10-27