• 發布單位:TWCERT/CC
• 更新日期:2019-03-23
• 點閱次數:3619

1.NIST未來新版的密碼準則將改為建議使用多個單字連結的長密碼來增加強度，且除非帳戶有被駭跡象，並不需要頻頻更換密碼。

美國國家標準技術研究所（NIST）2003年出版的1份文件附錄中，建議電腦使用者在設定自己的密碼時，可以使用好記的簡短字眼，但必須交替使用大小寫，將部分字母替代為特殊符號，而且最好是每3個月就固定更改密碼。密碼規則發明人Bill Burr最近接受華爾街日報的訪問時坦承：「我現在很後悔寫些了那些東西…因為到頭來，我的準則對一般人來說太複雜了，不易理解，而且老實說，根本就搞錯方向。」
基本上，Bill Burr提到的規則並沒有錯，如果有心人要駭入你的帳號，密碼愈複雜、愈違反直覺愈不容易猜中，但他沒考慮到，使用者天性最怕麻煩，最後使用者還是設了超好猜的密碼，還浪費了一大堆時間。
華爾街日報曾經舉例，這些年來使用者已經被訓練成會設定人類難懂的密碼，但對機器來說卻相對好懂。Tr0ub4dor&3（一串難記的密碼，符合各種常見規則）有2的28次方種組合，每秒猜1000次，電腦只要約3天就能猜出來。「correcthorsebatterystaple」（一串用4個隨機詞組成的密碼，沒有符合規則），有2的44次方種組合，每秒猜1000次大約需要550年。在這個例子中，真要人類背的話後面那串荒謬的4組單字密碼比較好記，而電腦最會的就是用運算，因此最後的決勝點在於長度。
 

參考連結：

https://udn.com/news/story/7088/2636942
http://i.imgur.com/omWifvO.jpg?fb