在设定密码时,我们总被告知要设置更复杂的密码,为的就是提升账户的安全性。许多网站在用户创建账户时都会要求密码包含多个英文字母、数字和特殊字符,但最早建立这标准的人却在 15 年后表示,复杂的密码基本上没什么用。
建立这密码标准体系的人是 Bill Burr,曾在美国国家标准与技术研究所担任主管。2003 年 Bill Burr 负责起草一份 8 页的指导文件,主题是如何设定一个安全的密码,这份文件全面解释了提升密码安全性的要求,涉及电子信箱、个人账户和银行账户等,所有系统的密码都要求包括大写英文字母、特殊符号和数字。
当时 Bill Burr 并不是工程师,他也不是网络安全方面的专家,起草这份文件时他也没有太多资料参考。这位已退休的 72 岁老人揭开了复杂密码标准背后的故事。他在接受华尔街日报采访时表示,对于当初设置如此复杂的密码标准,他非常后悔,在起草这份文件时他只是查阅了一些 1980 年代的论文,论文发表时还没有网络服务,最终指定的标准有些过于复杂,甚至可能是一个错误的方向。
Bill Burr 设定的标准是能提升密码的安全性,越简单的密码越容易被破解。令人感到意外的是 Bill 制定这种标准其实没有任何技术上的依据。早期网络平台许多规则都没有太多理论依据,比如说现今网址中双斜线符号的应用发明者 Tim Berners-Lee 也曾经表态,对这个发明感到遗憾。
- The Guy Who Invented Those Annoying Password Rules Now Regrets Wasting Your Time
(首图来源:Flickr/Christiaan Colen CC BY 2.0)
