密码必须由大小楷字母、数字和特别符号组成,且要定期更改,这些遭全球无数用户咒骂的登入密码设定政策,始作俑者是美国国家标准技术研究所(NIST)一名中层经理。这位鲜为人知的“密码教父”承认当年提出的指引是错的,扰民之余无助电脑网络保安。 NIST早前已发出新指引废除有关建议。

过去十多年来被众多政府机构、大企业和主要网站奉为金科玉律的密码政策,出自2003年《NIST特别出版物800-63附录A》,撰写人伯尔(Bill Burr)现年72岁,已退休。回望这份影响深远的文件,他悔不当初:“当年干下的大部份事,我现在都在懊悔。”

疑密码失窃才需更改
要求用户使用“x6Q9!bW#”之类“火星文”密码,用意是想令黑客无处入手,可是令用户难以记起,故此往往都只是将常用字词密码小修小改,以满足要求,如用“Pa$$w0rd”和“Monkey1!”,对于应付90日强制更改一次密码的要求也一样,如将“Pa55word!1”改为“Pa55word!2”,黑客不难猜中。
“火星文”密码的另一宗罪,是用户输入密码时要输入字母、数字和符号,违反一般人打字惯性,徒令他们要花更多时间输入。伯尔承认,这些政策“只令人们发怒,无论做什么,他们都不会挑选好的密码”。
NIST经过两年检讨后,今年6月发出新的《800-63附录A》指引,取消了密码必须包括数字和符号的要求,定时更改密码亦改为怀疑密码失窃才需要强制用户改密码,外界逐渐开始跟从。领导新指引撰写工作的NIST顾问格拉西(Paul Grassi)表示,旧要求对加强网络保安作用不大,“其实对可用性反有负面影响”。

长句反更易记难破解
新指引容许使用较长但较好记的英文字句作为密码,并建议密码系统应容许用长达64个字符的密码。研究密码的学者指出,由四个英文单词组成的短句由于字符可能组合大得多,黑客想用程式逐个试来破解,难度其实远高于字符短的“火星文”密码。一个已透过漫画形式广传的例子,就指黑客想破解“correct horse battery staple”密码,需时550年,而破解“Tr0ub4dor&3”密码,只需3日。
越战年代曾为陆军大型电脑编写程式的伯尔,指他2003年撰写密码政策指引时,原本想参考现实世界用户如何设定密码的实证资料,但当时无甚这类资料,他想看看NIST同事用了什么密码,电脑管理员也以私隐为由拒绝,在时间紧迫下,指引很大程度引用自1980年代中一份白皮书,但当时密码保安只属少数人要面对的问题。伯尔指旧指引的要求“对很多普通人来说可能太复杂,捉错了用神”。
美国《华尔街日报》

LEAVE A REPLY

Please enter your comment!
Please enter your name here