看板 Gossiping作者 Diluvius (沒)標題 [新聞] 現代密碼要求數字與字母混合、大小寫,發時間 Wed Aug 9 17:55:17 2017
1.媒體來源: iThome 林妍溱
2.完整新聞標題: 現代密碼要求數字與字母混合、大小寫,發明者很後悔
3.完整新聞內文:
Bill Burr在2003年與一群學者撰寫論文,規範了現代密碼的要求,大寫字母、非數字符
號、最少一個數字,近期他在接受媒體訪問時表示,這樣的密碼規則太複雜,不易讓人記
住,在加強安全性上也走錯了方向。
----
現代密碼要求超過一定長度的數字及字母、有的要求大小寫、還要90天更新,令使用者困
擾不已。現在,發明這項密碼規則的人對此感到抱歉。而今年NIST也更新了密碼的要求。
前全國標準與技術協會(National Institute of Standards and Technology, NIST)擔
任經理時提出這項規則的Bill Burr本周在接受華爾街時報訪問時如此表示。
2003年他和一群學者撰寫了NIST特別出版論文800-63號的《電子驗證指導原則》,其中在
附件A列出了密碼要求,包括大寫字母、非數字的符號,以及最少一個數字等規則。他甚
至還建議最好定期更換密碼。他在訪問中表示對當時做的事感到歉意,表示這些規則對大
部份使用者來說太複雜,而且對於強化安全性,這種作法也是方向搞錯了。
因為NIST制訂的密碼原則廣為企業、學校及政府機關採用,也使得取、記密碼成了絕大多
數人的夢魘。由於記不住密碼,大部份使用者則發展出寫在便利貼貼在螢幕上、或是乾脆
取「password」及「123456」等密碼,這類字串已經蟬連數年最常用密碼的前幾名。
也有人因此發展出P@ssW0rd123!這種兼具大小寫、並以數字及符號取代字母的密碼規則,
然而
重複使用這種規則的結果是駭客更容易預測及破解密碼。
2011年一則經典的xkcd漫畫就道出破解這類密碼並不難。一個Tr0ub4dor&3由於符合大小
寫、數字替換及特殊符號運用的規則,以電腦破解只要3天即可,但簡單而有意義的字串
反而需要550年,漫畫並寫著:
人類花了20年終於成功訓練每個人使用一種人類記不住,
但電腦很容易猜出的密碼。
NIST在今年6月頒佈了由Paul Grassi擔任技術顧問撰寫的新一批安全文件,包括數位身份
與驗證及生命周期管理等指導原則,則將密碼規則修正,例如將一些使用者可記憶的文字
組成字串的密詞(passphrase),像是Puffineatingbanana,人類容易記憶,但電腦得花
數百萬年才破解得了。文件指出,密詞和密碼用途類似,但通常長度更長也更安全。
但華爾街時報引述Grassi肯定了Burr對電腦業界的貢獻,表示後者撰寫的安全文件用了10
到15年,他希望他的文件也能用那麼久。
4.完整新聞連結 (或短網址):
http://www.ithome.com.tw/news/116127
5.備註:
--
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 180.176.76.31
※ 文章代碼(AID): #1PYjm8Iy (Gossiping)
※ 文章網址: https://www.ptt.cc/bbs/Gossiping/M.1502272520.A.4BC.html
→ Rsreturn: bill burr 不是那個脫口秀的嗎2F 08/09 17:56
推 tchialen: 搞那麼複雜衝三小 肥宅的帳號沒人想盜3F 08/09 17:56
噓 PGCHAI: ******5F 08/09 17:57
推 THEODD: 樓下手機密碼四個零6F 08/09 17:57
推 Jason0813: 還好我都用**********當密碼7F 08/09 17:57
推 wtfman: wtfmanfuckyou
幹 騙我8F 08/09 17:57
推 odsan: ******10F 08/09 17:58
噓 pierreqq: 強迫定期更新密碼真的很智障...11F 08/09 17:58
→ wtfman: 誰在那邊亂登我帳號辣 媽ㄉ14F 08/09 17:58
推 joumay: 這密碼規則真的很白目... 應該只有 msa 的被迫改成這種15F 08/09 17:59
推 wotupset: 安全性本來就不該指望不可靠的使用者16F 08/09 18:00
→ joumay: 害拎北設定了一個唯一自己沒在背的密碼 很無言....17F 08/09 18:00
推 a204a218: 加強密碼安全性的最好方法不就是增加長度嗎18F 08/09 18:03
推 sggs: 所以lastpass網站超好用,現在註冊新帳號第一件事就是登錄20F 08/09 18:04
→ linzero: 用特定詞轉大小寫符號才較容易解吧。隨機字母符號長度夠21F 08/09 18:04
→ linzero: 不可能會因此變好解23F 08/09 18:05
→ eva991: 雙認證不就好了28F 08/09 18:07
噓 ilovekurumi: ***************************************30F 08/09 18:09
→ dslite: kerpisidiot31F 08/09 18:09
推 a27588679: 我都不記密碼,這樣就沒有人能奪取我的記憶了33F 08/09 18:10
→ linzero: 而理論上使用對個人有意義的詞彙組成的密碼,只要長度足夠就不好解。密碼最好不要用公開資訊去組成,比如姓名、生日等,這樣只要用帳號去搜有可能找到你公開的訊息34F 08/09 18:10
→ wolver: 注音解碼器 真是臺灣人最好的東西38F 08/09 18:17
推 avans: 你是不是機器人 是 ( 使用google記憶密碼時w )39F 08/09 18:22
噓 vladmir: 密碼的唯一重點就是不能有意義啊...40F 08/09 18:23
推 StevoWu: may5howGUNm0r341F 08/09 18:24
推 shorong: @0oO0oO0oO46F 08/09 18:45
噓 darkMood: 各種輸入法打各種你自創的髒話首字大寫搞定。48F 08/09 18:50
→ route22: 12three4five649F 08/09 18:50
推 j900414: 還好我都用*********當密碼
幹超屌 自動隱藏了53F 08/09 19:05
推 emblakenta: loveanalfkmeplz
幹怎麼沒碼55F 08/09 19:06
推 adamcc: iwantmyfuckingmoney57F 08/09 19:09
推 vespar: 幹 這種智障密碼規則害我一直忘記密碼 他馬的60F 08/09 19:22
推 tokyoto: 最機車的是有的還強迫你更新 而且不能和前幾次一樣 只好另外開個檔專存密碼63F 08/09 19:42
推 becksue26: 我直接無視點忘記密碼打給客服,反正過一個月就忘了。65F 08/09 19:47
噓 r30385: 幹你媽的就是你這王八蛋害我每90天就要改密碼
道歉有三小屁用 滾去吃屎啦幹你老師66F 08/09 19:47
推 WuDhar: 超煩爛設計,整天記密碼就飽了68F 08/09 20:05
推 SongRe: fuckyourass69F 08/09 20:11
--