相信大家都心有戚戚焉,每次碰到這些落落長的要求,心裡就有底,這組密碼防止自己登入的次數將比防止被盜的次數還來得多。
大家是不是都有這樣的經驗呢?當你要設定新密碼的時候,出現了這樣的一行提示:密碼長度不得低於8位數、必須同時包含大小寫英文、數字、符號,且相同字元不得重複超過3次、英文或數字間不得連續⋯⋯ 相信大家都心有戚戚焉,每次碰到這些落落長的要求,心裡就有底,這組密碼防止自己登入的次數將比防止被盜的次數還來得多。
那你知道這種規則是誰創造的嗎?一切都始於近15年前,一名叫Bill Burr的美國國家教準技術研究所(NIST, National Institute of Standards and Technology)主管。Bill Burr 2003年草擬了一份8頁的指南,教大家怎麼建立安全的密碼,這份文件就叫做「NIST特別刊物800-63. 附錄A」。裡面建議大家設定密碼要用奇怪而無意義的字加上罕見的字元、大寫英文和數字,並且時常更換密碼。
我們後來常看到的大小寫、英數字規範,或多或少就是源自於這份文件,當時Burr的專業並非資安,而他現在已經72歲,也從研究所退休了。
最近Bill Burr接受華爾街日報訪問,提到了他很後悔也很抱歉為大家帶來這麼多困擾。儘管這份白皮書是早在一般人還用不到網際網路的1980年代就完成,而且Burr當時對此研究不深,他還是後悔讓大家設下太難懂又難記的密碼,況且其中很多規則可能放錯了重點。
基本上,Burr提到的規則並沒有錯,如果有心人要駭入你的帳號,密碼愈複雜、愈違反直覺愈不容易猜中。但他沒考慮到,使用者天性最怕麻煩:
「你要他加入大寫、符號且90天改一次密碼,他就會從Pa55word!1改成Pa55word!2。」
最後使用者還是設了超好猜的密碼(最常見的密碼就是password),還浪費了一大堆時間。
當然,現在需要設定密碼的服務這麼多,也已經有很多案例可以事後諸葛,檢討怎麼做才可以兼顧「使用者的惰性」因素。 電腦運算能力愈來愈強大 ,逐字去猜密碼的暴力破解法所需時間也愈來愈短。就像華爾街日報舉例,XKCD的漫畫,這些年來使用者已經被訓練成會設定人類難懂的密碼,但對機器來說卻相對好懂。
Tr0ub4dor&3(一串難記的密碼,符合各種常見規則)有2的28次方種組合,每秒猜1000次,電腦只要約3天就能猜出來。「correcthorsebatterystaple」(一串用4個隨機詞組成的密碼,沒有符合規則),有2的44次方種組合,每秒猜1000次大約需要550年。
在這個例子中,真要人類背的話後面那串荒謬的4組單字密碼比較好記,而電腦最會的就是用運算,因此最後的決勝點在於長度。
後來NIST也更新了他們的指南,從字符規則改為強調密碼長度。但這也不能怪Burr,畢竟科技發展日新月異,大家都是從錯中學,就像彈出視窗廣告發明人,還有發明http後面那2條斜線(同時也是發明網路)的Tim Berners-Lee,他們都曾說對造成眾人困擾感到很抱歉,不過他們可都是創造了網路世界基礎元素的重要一份子。
