首页 > 热点

密码怎么设置最安全?研究人员发现,这样设密码最好!

作者:小柯 来源:法律法规网 2017-08-12 15:50:00

每次设置一个新帐号,系统总会温馨提示使用者要记得用一组有英数混合、混杂大小写的密码,等到你把帐号设定好,有的网站还会几个月固定提醒你一次密码太旧了记得改一下喔!。种种关于网络密码的规定总是令人...

 每次设置一个新帐号,系统总会温馨提示使用者要记得用一组有英数混合、混杂大小写的密码,等到你把帐号设定好,有的网站还会几个月固定提醒你一次“密码太旧了记得改一下喔!”。种种关于网络密码的规定总是令人焦头烂额,不过想到这可能是在保护我们的帐号安全,大多人顶多摸摸鼻子算了,然而,如此复杂的密码设置程序可能在保护帐号上没什么实质帮助。

1.JPG

现今不同的网络平台对密码有着各式各样的要求规范,如果我们不常使用,总是很容易忘记在特定平台设定了什么密码。

密码规则多  又要固定更改好麻烦

在现代生活,设置网络帐号密码总是令人困扰,因为各大网络平台对于密码的要求都不同,有些平台又会时不时要求使用者固定更改密码,大大增加了记忆密码的难度。

源自15年前的规范

其实这套密码安全守则是源自2003年,在美国标准与技术协会(National Institute of Standards and Technology, NIST)担任经理的伯尔(Bill Burr)所提出,他当时建议人们在设置密码时,应该使用由英文、数字、奇怪符号混杂而成的单字(像是把“impressive”改成“1Mpr3$$1v3!”),而且使用者应该要定期更改密码。

伯尔:我后悔自己提出的建议

这十几年来,伯尔的建议一直广为政府、公司、教育单位采用,然而在本周一(7),已经退休的伯尔在与《华尔街日报》的访谈直言,他对提出这些建议感到后悔,也认为自己在保护密码方面搞错了方向。

2.jpg

面对各式各样的密码规范,有些人反而会设置简单好记的字符组合,进而让密码变得更好破解。

对使用者是负担  而且没有比较安全

在接受访问时,伯尔指出,依循这些规则设置的密码对使用者来说是种负担,也反而会让骇客更容易破解。

嫌麻烦挑简单的设定  就算常改也没用

回头细看这些规则,伯尔建议使用者应该每90天改一次密码,有的使用者可能会嫌麻烦就把密码从“impressive1”改成“impressive2”,有的使用者则是不知道要设什么密码,就习惯*地使用一些很容易被破解的字符当密码,像是在句末打上“!”、“?”,或是使用常见的“123”数列。而不论是哪种情况,都与“让密码更安全”的想法背道而驰。

到处都用一样的密码

此外,虽然把“impressive”改成“1Mpr3$$1v3!”看似把密码变得很难很复杂,但对人们来说,这种密码反而不容易记忆,倒头来他们不是把密码写在很显眼的地方,就是会在所有网络平台使用一样的密码。

字符转换有规则  反而容易破解

此外,由于英文转换成数字、特殊符号的模式、密码大小写的摆放位置大多有迹可寻,所以对有些骇客、电脑演算法来说,来预测并破解这些密码并不是难事。

3.jpg

一名艺术家替狗狗加上一个“你记得你的密码吗?”对话框。网络漫画家门罗认为,我们依循这种规定创造出了人类记不得,电脑却能够简单破解的密码。

各种字符混在一起的复杂密码  3天就可破解

其实早在2011年8月,美国网络漫画家,前NASA机器人专家及程式设计师门罗(Randall Munroe)就在他的趣味科普网站xkcd以漫画的方式,解释电脑因为可以预期“Tr0ub4dor&3”(编注:troubador的变体)的大小写位置、既定的数字替换模式、常出现的特殊字符,所以只要3天,就能够轻易破解密码,但是这类密码对人类来说却很难记忆。

把各种单字随机混在一起就很好了

然而,如果使用者是用“correcthorsebatterystaple”(正确的马儿电池钉书机)这类随机字词组成的密码,电脑得花上550年才能顺利破解它,但人类却能轻易记住这类密码。

《华尔街日报》也向资安专家求证,确认门罗这样的计算没有问题,这意味着“长又好记的随机字词组合”其实会比“英文、数字、奇怪符号混杂的组合密码”来得安全。

这20年来,我们成功地训练大家去使用自己根本记不住,电脑却很容易猜出来的密码。

网络漫画家 门罗

4.jpg

2016年9月,资安专家贾巴拉(Antoine Vincent Jebara)正在向媒体展示他推出的密码管理软件。

新守则:密码越长越好,不用太常换

其实在今年6月,由美国标准与技术协会最新发布的密码守则中也更改了一些建议,像是尽可能地让密码越长越好、使用密码管理软件来产生随机加密密码。新守则也提到,使用特殊字符不一定会比较安全,还有没有必要定期更新密码,除非有人意图盗用你的帐号。

规范总是随着知识变化

对于伯尔15年后的反思,《奥瑞冈人报》认为这其实不是他的问题,因为过去他能依据的只有身为资讯专家的常识,而不像15年后的现在,我们有了许多数据分析资料,能够借此判别怎么样的密码才行得通,这也是为什么美国标准与技术协会在这15年来,不断地修正他们的密码守则。

上一篇 下一篇

I 热点 / Hot