在出版被認為是密碼創建聖經的十四年後,該文件的作者在接受採訪時修改了他的立場華爾街日報。
2003 年,比爾·伯爾 (Bill Burr) 在一份由美國國家標準技術研究院(特別負責制定技術標準的美國機構)建立包含大寫字母、小寫字母、數字和標點符號的密碼並定期(每 90 天)更改一次。
組合太複雜難以記住
但這個建議畢竟不那麼明智。原因很簡單:這樣的密碼不僅用戶記住起來很複雜……而且很容易被潛在的駭客破解。事實上,無數的網路使用者選擇一個簡單的單字,他們會稍微修改和/或用特殊字元完成,以使其成為自己的單字。
例子 ?例如,穿山甲愛好者可以選擇使用密碼「$Pang0l1N$!」來保護他們的帳戶。然而,儘管其表面上很複雜,但這個字符序列仍然很容易被字典和暴力相結合的混合攻擊所破壞(見下圖)。
“我對自己寫下的很多東西感到後悔”現已退休的比爾·伯爾 (Bill Burr) 向美國報紙宣稱。他也承認,他的建議並非基於經驗數據,而且他面臨壓力,因為他必須快速完成論文。」 最終,他總結道,它只會讓人們發瘋並讓他們選擇錯誤的密碼。 »
更好的主意:長句子
去年 6 月,NIST 安全專家 Paul Grassi 徹底重寫了這份文件,他緩和了這位退休人員的指控。「他仍然寫了一份持續了10到15年的文件。我希望我也能這樣做。 »
現在,NIST 建議使用易於記憶的長句子,如漫畫所示難以形容的蘭德爾·門羅以下。根據他的計算,以每秒 1000 次嘗試的速度,只需要三天就能找到密碼 Tr0ub4dor&3,相比之下,短語“ Correcthorsebatteryestable”需要 550 年!
我們的穿山甲愛好者使用“vivelespangolinsbretonsenliberte”或“pangolinartichautrugbytablette”等密鑰,而不是無法記住他的密碼,會更安全。此外,單字序列更容易記住。
NIST 指南的另一項變更是:僅在有跡象表明密碼可能已損壞時才更改密碼,並且不再每 90 天更改一次。
這些有用的說明現在可以附帶其他工具來保護您的帳戶。許多應用程式和服務已經提供雙重身份驗證(Facebook,蘋果,Google……)就是其中之一。你知道你必須做什麼!
