看板 Gossiping作者 pooznn (我~~~是來被打臉滴!!!)標題 [新聞] 密碼聖經作者:對不起!我教的密碼設定都時間 Mon Aug 14 14:51:26 2017
密碼聖經作者:對不起!我教的密碼設定都是錯的
鏡週刊 2017年8月14日 上午5:00 YAHOO
您一定也有過盯著電腦上的空格,絞盡腦汁地想要依照專家建議想出一個好記又不好猜的
密碼,想得面紅耳赤、猛拔頭髮的經驗。在體驗過這樣的煎熬之後,現在從國外卻傳來一
個令人抓狂的消息:那些建議,根本就是錯的。
美國國家標準技術研究所(NIST)2003年出版的1份文件附錄,只有8頁,但這短短8頁內
容卻是公家機關和民營企業未來10幾年內,設定帳戶密碼時的參考準則。附錄中建議電腦
使用者在設定自己的密碼時,可以使用好記的簡短字眼,但必須交替使用大小寫,將部分
字母替代為特殊符號,像是P@ssW0rd123!,或是MonKEyl!,而且最好是每3個月就固定更
改密碼。
當年負責執筆這份密碼寶典的,是1位標準技術研究所裡的中階主管,名叫Bill Burr。最
近他接受華爾街日報的訪問時坦承:「我現在很後悔寫些了那些東西…因為到頭來,我的
準則對一般人來說太複雜了,不易理解,而且老實說,根本就搞錯方向。」
Bill Burr之所以公開坦承錯誤,是因為NIST最近著手修訂這份密碼準則,才發現裡面的
內容早已不合時宜,甚至根本就不正確,到最後乾脆放棄修訂,全部重寫。
不少資安專家對NIST的決定並不感到意外,因為早從好幾年前,網路上就開始流傳一張漫
畫,用圖像化的方式比較了2種密碼設定方式的優劣。如果按照NIST密碼寶典的建議,設
定類似「Tr0ub4dor&3」這樣的短密碼,駭客只需3天就能破解;而若是改用4個不相干的
英文字,例如「correct horse battery staple」,去掉字間空格,連起來當成1個長密
碼,駭客想要破解就得花上至少500年的時間,難度暴增。
近年來網站遇駭事件頻傳,從駭客外洩出來的帳戶密碼當中,可以發現許多使用者在選擇
密碼時,為了遵照NIST所訂下的奇怪規則,又怕密碼太拗口自己記不住,結果都很有默契
地使用了類似撇步來設定密碼,像是把a換成@,把o換成數字零,讓駭客輕易就試出了可
能的密碼組合。而每90天換一次密碼的建議,更是折磨人,導致很多人偷懶只換掉其中1
個數字,完全失去更換密碼的意義,又徒增民眾困擾。
因此,未來新版的密碼準則將改為建議民眾使用多個單字連結起來的長密碼,而且除非帳
戶有被駭跡象,並不需要頻頻更換密碼。
Bill Burr曾在越戰期間替軍方編寫大型電腦程式,目前已退休,高齡72。對於自己編寫
的密碼聖經有誤,他解釋2003年那時並不像現在網路那麼發達,沒有太多資料可以參考,
所以他只好拿80年代的一份白皮書作範本,交差了事,結果很快就證明了科技變化的速度
太快,任何「聖經寶典」都可能面臨在短短幾年內淪為廢紙的命運。
參考資料:WSJ, The Verge
https://tw.news.yahoo.com/密碼聖經作者-對不起-我教的密碼設定都是錯的-210000537.html
https://goo.gl/DQGxxs
--
聽說 在PTT推文時打自己的密碼 系統會自動幫你變成******** 是真的嗎?!
--
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 36.227.59.172
※ 文章代碼(AID): #1PaKXneb (Gossiping)
※ 文章網址: https://www.ptt.cc/bbs/Gossiping/M.1502693489.A.A25.html
→ trylin: passwork
幹你騙我1F 08/14 14:51
→ heinse: ******** 真的ㄝ5F 08/14 14:52
推 Newtype: p@ssw0rd 萬用6F 08/14 14:52
→ kivan00: 行動通訊時代,兩步驗證比較實際啦7F 08/14 14:52
→ fujioqq: bill burr就去講脫口秀就好了 教什麼密碼8F 08/14 14:52
推 tomwu1993: bill burr明明就是脫口秀主持人,想騙我?10F 08/14 14:53
→ jtch: 這什麼爛新聞12F 08/14 14:53
→ floz: 騙人的吧 ********16F 08/14 14:53
→ tiffcmh: loveOTAKU12345619F 08/14 14:53
推 hijkxyzuw: IloveXXXXGAYforever23F 08/14 14:55
→ fallheart: 公司強制半年換密碼,根本無意義嘛!24F 08/14 14:55
→ vonannes: loxiabejiadiaugun27F 08/14 14:56
推 impact999: fuckyouidiot 沒有啊!30F 08/14 14:58
推 tivallion: Jiwkauaigreosusul33F 08/14 14:58
推 ppoopo: jabshogsgov36F 08/14 15:02
推 valar5566: ************ 真的耶 會自動隱蔽37F 08/14 15:03
推 pzyc79: howdoyouturnthison40F 08/14 15:04
推 rei196: 就是你這砸碎害我每三個月要想一次新密碼,幹你娘41F 08/14 15:04
→ Tachiman: ********真der耶!42F 08/14 15:05
推 snownow: 有些銀行密碼真的超機車,三不五時就要強制更換,不能照43F 08/14 15:05
→ snownow: 以前的密碼、相似度不能50%,字數就算了還規定要放特殊46F 08/14 15:06
推 SupCat: 來試試看 iamgay
幹被騙惹47F 08/14 15:06
→ snownow: 符號,最後改到我每次要用卡都要被鎖卡一次重新換密碼49F 08/14 15:06
推 MasCat: *****************50F 08/14 15:06
推 P2: pooznn52F 08/14 15:08
推 f9968106: 1qaz@WSX3edc 請問這組密碼可以登入多少軍方的個人電腦?57F 08/14 15:11
推 hw1: 最難猜的密碼應該是用英文鍵盤打注音輸入的中文 完全沒規則63F 08/14 15:12
推 ptt95784: 那可以用無蝦米字根當密碼嗎?66F 08/14 15:14
推 richjf: 注音碼轉英文很難破吧67F 08/14 15:20
推 JackaLMeI: 測試 *********** 有成功嗎?69F 08/14 15:21
推 pt7441: brfjg333f70F 08/14 15:22
推 zien0223: Bill burr 原來除了會講脫口秀還會寫程式71F 08/14 15:23
推 scedbo412: 最政治不正確的那個bill burr?74F 08/14 15:27
推 otho: 講你的脫口秀幹76F 08/14 15:31
推 season002: bill burrrrrrrrrrrrrrrr~~~77F 08/14 15:34
推 otto6205: stupidpig5566
ㄟ幹怎麼被騙了78F 08/14 15:36
噓 L9C4iO: 我不相信這爛梗有用
************
真的可以耶!好神奇喔81F 08/14 15:38
推 geige: 純數字用個軟體測,測對就停比較簡單84F 08/14 15:42
推 LiamTiger: Liamishandsome
....85F 08/14 15:43
推 ckleman: 讓我試試 *******
扯89F 08/14 15:44
推 wacoal: 國軍電腦的密碼都是1QAZ2WSX 3EDC4RFV 5TGB6YHN91F 08/14 15:47
→ lecheck: Bill but 脫口秀超好笑94F 08/14 15:48
推 catsondbs: 拿80年代的一份白皮書作範本交差了事 專家也會抄功課100F 08/14 15:56
推 reppoc: 設成mayshowgunmore駭客猜1000年也猜不到101F 08/14 15:59
推 orzero: 國軍的不都是輸入沒有密碼嗎104F 08/14 16:03
推 nicoro: 25@erer998
幹!105F 08/14 16:06
→ Raews: 自己的密碼
騙肖欸108F 08/14 16:09
推 Bohm: ******** 哇 以前都不知道有這功能111F 08/14 16:10
推 ben100rk: ************
真的耶112F 08/14 16:14
噓 jayway: 幹你的又是個叫bb的雜碎116F 08/14 16:22
推 ja1295: xcbz686119F 08/14 16:31
推 a19732468: 應該用注音相對的英文打出來的密碼應該要破譯更久吧?121F 08/14 16:33
推 lagidog: tasiinwenciatai123F 08/14 16:41
推 diiky: *******************************************************125F 08/14 16:50
推 kukuyo: xxxxxxxxxxxxxxxgay129F 08/14 16:57
推 Peugeot306: ***********************131F 08/14 17:03
推 moonlind: 新的方式跟我的密碼很像 準備幾個單詞 然後亂拼132F 08/14 17:10
推 wwetter: 這不是公開秘密嗎?***********133F 08/14 17:17
→ pietew: .....超無言134F 08/14 17:24
噓 ian41360: 幹 害我公司和網銀密碼永遠記不起來135F 08/14 17:30
推 tc2215: 有人用win98的序號當密碼的嗎?137F 08/14 17:34
推 saiya: 想一個中文單詞,然後換成注音對應的英數輸入,好記又夠複雜139F 08/14 17:40
推 zealeliot: s8923a7134 我的密碼有星星嗎?141F 08/14 17:44
→ REVIEAL: 看到Bill Burr就覺得很鬧143F 08/14 18:00
推 qwe04687: rnt395601
沒有= =144F 08/14 18:06
推 swgun: 我打賭中華民國政府一樣機關奉行不悖146F 08/14 18:06
推 gl3x96: ℉μc k147F 08/14 18:08
推 wulahey: 虎爛的吧 ******** 哇操真的欸149F 08/14 18:14
→ EEERRIICC: ****** 為什麼自動馬掉...150F 08/14 18:15
推 sunjh: 密碼教錯沒關係啊,yoyo大都是繞過就好了152F 08/14 18:22
推 mis1114: 拿個人名當密碼就很難猜了153F 08/14 18:24
--