美國國家標準技術研究所(NIST)2003年出版的1份文件附錄,只有8頁,但這短短8頁內容卻是公家機關和民營企業未來10幾年內,設定帳戶密碼時的參考準則。附錄中建議電腦使用者在設定自己的密碼時,可以使用好記的簡短字眼,但必須交替使用大小寫,將部分字母替代為特殊符號,像是P@ssW0rd123!,或是MonKEyl!,而且最好是每3個月就固定更改密碼。
當年負責執筆這份密碼寶典的,是1位標準技術研究所裡的中階主管,名叫Bill Burr。最近他接受華爾街日報的訪問時坦承:「我現在很後悔寫些了那些東西…因為到頭來,我的準則對一般人來說太複雜了,不易理解,而且老實說,根本就搞錯方向。」
Bill Burr之所以公開坦承錯誤,是因為NIST最近著手修訂這份密碼準則,才發現裡面的內容早已不合時宜,甚至根本就不正確,到最後乾脆放棄修訂,全部重寫。
不少資安專家對NIST的決定並不感到意外,因為早從好幾年前,網路上就開始流傳一張漫畫,用圖像化的方式比較了2種密碼設定方式的優劣。如果按照NIST密碼寶典的建議,設定類似「Tr0ub4dor&3」這樣的短密碼,駭客只需3天就能破解;而若是改用4個不相干的英文字,例如「correct horse battery staple」,去掉字間空格,連起來當成1個長密碼,駭客想要破解就得花上至少500年的時間,難度暴增。
近年來網站遇駭事件頻傳,從駭客外洩出來的帳戶密碼當中,可以發現許多使用者在選擇密碼時,為了遵照NIST所訂下的奇怪規則,又怕密碼太拗口自己記不住,結果都很有默契地使用了類似撇步來設定密碼,像是把a換成@,把o換成數字零,讓駭客輕易就試出了可能的密碼組合。而每90天換一次密碼的建議,更是折磨人,導致很多人偷懶只換掉其中1個數字,完全失去更換密碼的意義,又徒增民眾困擾。
因此,未來新版的密碼準則將改為建議民眾使用多個單字連結起來的長密碼,而且除非帳戶有被駭跡象,並不需要頻頻更換密碼。
Bill Burr曾在越戰期間替軍方編寫大型電腦程式,目前已退休,高齡72。對於自己編寫的密碼聖經有誤,他解釋2003年那時並不像現在網路那麼發達,沒有太多資料可以參考,所以他只好拿80年代的一份白皮書作範本,交差了事,結果很快就證明了科技變化的速度太快,任何「聖經寶典」都可能面臨在短短幾年內淪為廢紙的命運。
參考資料:WSJ, The Verge