过去创造现代密码规则的发明者表示,其实早已不适合这个时代
过去多年来,在网络业当中许多地方需要密码,为了建议大家做出强悍的密码,通常会建议使用者建立出字元数多,组织出复杂而极难记忆的密码。但这些号称复杂得难以被轻易破解的密码,在当初创出这套 密码规则 的美国前国家标准局前经理眼中,其实已经不适合现代的环境:
过去我们对密码的印象就是通常需要一组不短的英文数字组合,通常还会建议至少要有大写字母跟小写字母搭配,甚至避免用现成的字词去制作密码。通常这样会做出又臭又长又难记的密码,但似乎离安全就近了一步。
其实这一套规则主要在 10 几年前被确立,发明这套规则的人是美国前国家标准与技术研究所的 Bill Burr 先生,这套规则由他起草出八页的指南,这份指南被命名为“NIST Special Publication 800-63. Appendix A.”并且被用在许多需要创造密码的地方,像是电邮账户,注册页面。这些地方都会看到这份文件为大家建议密码的形式,甚至后来还写成限制必须满足文件的需求才能够成为密码的使用方式:
唯一的问题是,2003 年他撰写文件时并未提到该如何复原密码,而 Bill Burr 也并非资安专家,他最近告诉华尔街日报,承认他对于密码严苛的要求是来自 80 年代的白皮书,也就是在网络还没被发明以前。因此,密码规则其实跟时代有着严重脱节,这样复杂的密码对于资安防护毫无帮助。
不过,根据一些数学上的根据,字数越少的密码在破解的时候通常花的时间也越短,因此目前这份文件的修订版,开始建议人们设计一个超长密码,来加强暴力破解的防御:
▲已被破解的速度来说,一组有意义的单字会比一团乱七八糟的密码更好破解,而长度越长的密码相较于短的密码越能减缓被破解的速度。
对 Bill Burr 来说,这份文件相当的尴尬,毕竟这不是他专业的东西,现在已经影响到世界各地。但也不能怪他,毕竟十几年前对于电脑密码研究的领域仍然不够成熟,而觉得遗憾的相信也不只有 Bill Burr。
举例来说,在网址列上加入两条斜线“//”的发明人也觉得这个作法很蠢,还有第一个研发弹跳式广告的发明者,他不知道这个动作为后来的世界,造成影响,至今主流浏览器仍然具备防止弹跳式广告的功能:
在电脑甚至网络的领域上,很多人一路走来不断的 Try & Error ,相信密码如此,两个奇妙的斜线如此,这些都是让人类前进一大步的基础,但如果多年后才发现自己的发明影响了全世界,或许会羞愧尴尬,无地自容,但不管怎么说,总会有些人原谅他们的。至少笔者自己会。
标签: 游戏头条 资讯头条 ggamen科技资讯 ggamen科技 ggamen科技资讯头条 科技资讯头条 ggamen游戏财经 新闻网 科技新闻网 科技新闻 ggamen ggamen游戏新闻网 科技新闻 科技新闻网 新闻网 ggamen游戏财经 ggamen科技 ggamen科技资讯 资讯头条 游戏头条 ggamen游戏新闻网 科技新闻 科技新闻网 新闻网 ggamen游戏财经 ggamen科技资讯头条 ggamen科技 ggamen科技资讯 资讯头条 游戏头条
