現在的網路社會裡, 密碼是我們的第一道防線, 也可能是唯一一道防線, 眾多的網站, app, 帳號, 都是靠密碼來保證安全的, 一直大家都提倡使用什麼大小寫, 數位組合的密碼, 還有定期更換密碼來保障安全, 可是真的有用嗎?
來看一下報導
在2013年, 比爾-伯爾(Bill Burr)為美國政府工作的時候曾撰寫了被視為安全密碼聖經的指南。 這些安全密碼指南建議使用者在密碼中使用大寫字母、數位和非字母表中的符號, 從而讓別人更難猜出來。
現在, 一些辦公室和網站要求人們在設置密碼時採用類似P@55w0rd或Football123的形式。 一些IT部門要求員工每90天更換一個新的密碼。
但是, 這樣的密碼並沒有提高安全性, 反而讓電腦系統變得更不安全了, 因為用戶會反復使用相同的密碼或將密碼記在電腦螢幕上的記事本上以防止自己遺忘。
加入數位和符號並不能提高密碼對於“暴力破解”網路攻擊的免疫力。
“我現在很後悔當年的建議。 ”伯爾說。 他現在已退休了。 “我完全搞錯了方向。 ”
他還表示, 定期修改密碼的建議也是錯誤的, 因為大多數人往往只會更改一個字母, 例如將密碼username1改成username2, 而這樣做根本無法阻止駭客攻擊。
在2015年, 英國最高情報機構政府通訊總部(GCHQ)建議公司停止重置密碼, 聲稱這樣做並不能提高安全性, 只會增加用戶的不便。
伯爾當初為美國國家科學技術研究所撰寫的密碼安全指南, 最近已進行了修訂, 刪掉了一些過時的、無用的建議。
新的安全密碼指南建議人們使用很長但卻很好記的由一組詞構成的密碼, 而不必設置特別的字母或數位。