还记得当初提倡要大家将密码改得越难越好的那位仁兄吗?他最近表示自己错了,这么做并没有比较好,而且用户还很难记住这些密码。现在美国的国家标准技术研究所开始提倡让用户利用简单好记的字母作为密码,而且越长越好。
美国国家标准技术研究所(National Institution of Standards and Technology, NIST)表示,以往用户使用复杂的组合当作帐户密码,例如加入特殊符号、字母大小写、数字混和使用时,往往到最后反而记不得到底什么帐号使用了什么密码,而且这么做也不会让骇客破解的难易度增加。
相反的,根据 NIST的研究,不过 NIST要打破一项观念,就是“密码不用复杂”,只要够简单、够长、够好记就可以了。
这里指的简单并不是说随便给一个“apple”、“banana”的单字就好,不,NIST的意思是要大家能够想一个只有自己知道的句子或单字组合就好了,NIST的高级标准和技术顾问保罗(Paul Grassi)表示,“只要用户能够想到这样的组合,基本上这就是一组独一无二的密码。”此外,密码越长,相对来说就更难被骇客入侵,相信这已经是基本常识了。但以往因为大家都被要求要设计一套“复杂”的密码,因此,普遍来说并不会将密码设定太长(以免记不住...)。
NIST的主张,其实简单来说,就是利用简单的组合、好记忆、长度来增加密码的强度,这里举例说明一下,比如说用户可以直接将密码设成“areyouokfinethankyouandyou”这样的用语,来帮助自己记忆,这样的密码组合对用户来说够简单、好记忆,而在资料保护层面,密码长度够长,所以强度也够。
当然,上面的句子只是用来举例,民众可以根据这样的方向去思考,找出一个属于自己的“简单密码”组合,独一无二的密码就是最强的密码,不管它有多长。(若有网友真的因为上述句子当作密码结果被盗,恕不负责!)
另外,保罗也表示,大家可能也有固定每90天就会换密码的习惯,但“我很确定你在做这个动作时,只是把其中的几个字母换掉、或是重新摆一下顺序而已。这件事情你知道、我知道,独眼龙骇客也知道,所以老实说,这么做的效果并不大。”
以这样的逻辑来看,或许 NIST的新提倡真的会对民众帐户、个资有帮助,如果每个人都可以找到一个只有自己知道(或只有自己懂)的密码组合,那基本上,骇客其实很难找到破解的逻辑,毕竟每个人在想的东西都不一样。
