每次要設定新密碼,都會有一些規定要遵守,例如長度要多於 8 個字、必須包含大小寫、要加入數字和符號,以及不可以重複和連續等等。發明這個規則的人最近接受訪問時表示自己也很後悔,對浪費大家的時間感到抱歉。
這些規則大部分都是來自 15 年前,美國教準技術研究所 (NIST) 主管 Bill Burr 所草擬的指南
建議電腦使用者在設定自己的密碼時,可以使用好記的簡短字眼,但必須交替使用大小寫,將部分字母替代為特殊符號,而且最好是每3個月就固定更改密碼。密碼規則發明人Bill Burr最近接受華爾街日報的訪問時坦承:「我現在很後悔寫些了那些東西…因為到頭來,我的準則對一般人來說太複雜了,不易理解,而且老實說,根本就搞錯方向。」
基本上,Bill Burr提到的規則並沒有錯,如果有心人要駭入你的帳號,密碼愈複雜、愈違反直覺愈不容易猜中,但他沒考慮到,使用者天性最怕麻煩,最後使用者還是設了超好猜的密碼,還浪費了一大堆時間。
Bill Burr 表示這些規則其實是互聯網還沒有普及的年代寫成,當年也沒有考慮到用戶的習慣,現在想起來都有後悔。他表示,雖然規則本身確實能夠增加黑客猜中密碼的難度,不過同一時間用戶如果經常要修改密碼,就會變得懶惰:「要求用戶加入大寫和符號,而且要 90 天改一次密碼,用戶就會從 Pa55word!1 改成 Pa55word!2。」結果而言這些密碼仍然容易猜出,加上現在黑客都是用電腦程式來暴力破解密碼,這些難明的密碼對電腦而言並沒有分別,反而要增加安全性,應該增加長度。
華爾街日報曾經舉例,這些年來使用者已經被訓練成會設定人類難懂的密碼,但對機器來說卻相對好懂。Tr0ub4dor&3(一串難記的密碼,符合各種常見規則)有2的28次方種組合,每秒猜1000次,電腦只要約3天就能猜出來。「correcthorsebatterystaple」(一串用4個隨機詞組成的密碼,沒有符合規則),有2的44次方種組合,每秒猜1000次大約需要550年。在這個例子中,真要人類背的話後面那串荒謬的4組單字密碼比較好記,而電腦最會的就是用運算,因此最後的決勝點在於長度。