過去多年來,在網路業當中許多地方需要密碼,為了建議大家做出強悍的密碼,通常會建議使用者建立出字元數多,組織出複雜而極難記憶的密碼。但這些號稱複雜得難以被輕易破解的密碼,在當初創出這套 密碼規則 的美國前國家標準局前經理眼中,其實已經不適合現代的環境:
過去我們對密碼的印象就是通常需要一組不短的英文數字組合,通常還會建議至少要有大寫字母跟小寫字母搭配,甚至避免用現成的字詞去製作密碼。通常這樣會做出又臭又長又難記的密碼,但似乎離安全就近了一步。
其實這一套規則主要在 10 幾年前被確立,發明這套規則的人是美國前國家標準與技術研究所的 Bill Burr 先生,這套規則由他起草出八頁的指南,這份指南被命名為「NIST Special Publication 800-63. Appendix A.」並且被用在許多需要創造密碼的地方,像是電郵帳戶,註冊頁面。這些地方都會看到這份文件為大家建議密碼的形式,甚至後來還寫成限制必須滿足文件的需求才能夠成為密碼的使用方式:
唯一的問題是,2003 年他撰寫文件時並未提到該如何復原密碼,而 Bill Burr 也並非資安專家,他最近告訴華爾街日報,承認他對於密碼嚴苛的要求是來自 80 年代的白皮書,也就是在網路還沒被發明以前。因此,密碼規則其實跟時代有著嚴重脫節,這樣複雜的密碼對於資安防護毫無幫助。
不過,根據一些數學上的根據,字數越少的密碼在破解的時候通常花的時間也越短,因此目前這份文件的修訂版,開始建議人們設計一個超長密碼,來加強暴力破解的防禦:
▲已被破解的速度來說,一組有意義的單字會比一團亂七八糟的密碼更好破解,而長度越長的密碼相較於短的密碼越能減緩被破解的速度。
對 Bill Burr 來說,這份文件相當的尷尬,畢竟這不是他專業的東西,現在已經影響到世界各地。但也不能怪他,畢竟十幾年前對於電腦密碼研究的領域仍然不夠成熟,而覺得遺憾的相信也不只有 Bill Burr。
舉例來說,在網址列上加入兩條斜線「//」的發明人也覺得這個作法很蠢,還有第一個研發彈跳式廣告的發明者,他不知道這個動作為後來的世界,造成影響,至今主流瀏覽器仍然具備防止彈跳式廣告的功能:
在電腦甚至網路的領域上,很多人一路走來不斷的 Try & Error ,相信密碼如此,兩個奇妙的斜線如此,這些都是讓人類前進一大步的基礎,但如果多年後才發現自己的發明影響了全世界,或許會羞愧尷尬,無地自容,但不管怎麼說,總會有些人原諒他們的。至少筆者自己會。
