广告
NYISSUE | 杂志
误导全世界十余年后,密码教父忏悔了
可能大家都知道,密码设置得很简单容易被盗号,比如开办了网络帝国Facebook的马克·扎克伯格。
黑客组织“OurMine”破解了扎克伯格的社群密码,并在他的Twitter上Po文: “嘿,我们入侵了你的Twitter、领英、Pinterest、Facebook账号,我们只是在测试你的密码安全性,请直接传简讯和我们联系”。当然,扎克伯格发现后,已经把这条状态删除了。
这个黑客组织还爆出了扎克伯格的社群密码,竟然是“dadada”这么简单的六个字母。
很多人会觉得,如果扎克伯格把密码设置得复杂一些,比如加入一些数字和大写字母,就不会被盗号了。但事实是不是这样呢?
密码教父的忏悔
2003年,时任美国国家标准与技术研究院中层主管的比尔﹒伯尔(Bill Burr)撰写了《NIST特别出版物800-63,附录A》(NIST Special Publication 800-63. Appendix A)。这份指南长达8页,建议用奇怪的字符、大写字母和数字拼凑密码,并且定期更换,保障账户安全。
绝大多数机构也都会在你设置账户的时候建议你这么做。这份文件兼职成了密码设置的圣经,众多政府机关、学术机构和大型企业在制定密码规则时纷纷效仿。
但是就是这本“密码圣经”的作者伯尔居然表示,他所说的都错了。
“对以前写的很多东西,我现在感到很遗憾。”伯尔说,他今年72岁,已经退休。
伯尔表示,其实这份文件中的大多建议都是错的。90天换一次密码?多数人做的更改微乎其微,很容易猜到。把密码从Pa55word!1改成Pa55word!2,黑客破解简直易如反掌。还有问题的一条是:密码里要有字母、数字、大写字母和特殊字符(感叹号或者问号之类的)──输入起来简直反人性。
密码圣经的来源
伯尔曾在越战时期为陆军的大型电脑编程,他编写指南时,本想参考现实生活中用户使用的密码数据。但2003年时这类资料很少,而NIST这份指南急于出版,时间很紧迫。
他征询过NIST的计算机管理员,想看看同事们用了什么密码,结果对方以隐私为由拒绝。
“他们特别诧异我居然会提出这么个要求。”伯尔说。
没了计算机密码安全的真实数据作为参考,伯尔只能依靠20世纪80年代中期出版的一本白皮书,那时消费者还没开始网上购物。
在那个年代起草这份指南,他已尽其所能。
“到最后,对于大多数人来说,这些规则还是太复杂,太难懂了,而且真相是,我当时并没有找到症结所在。”
什么样的密码最安全?
广告
在今天,密码研究人员表示,对于黑客来说,四个单词组成的长密码要比奇怪混乱的短密码难破解,因为一大堆字母就是要比很少的字母、字符和数字难处理。
电脑安全专家也证实,黑客想破解“correct horse battery staple”(正确的 马 电池 订书钉)这个密码,得花550年;而破解典型的伯尔法则式密码Tr0ub4dor&3,只需3天。
2017年,NIST发布了《特别出版物800-63》的彻底重修版,删掉了许多严苛的密码戒律。负责新版密码安全草案的是NIST的标准与技术顾问保罗﹒格拉西(Paul Grassi),项目进行了两年,他说一开始团队成员都以为只要稍作编辑即可。
新版本里删去了密码有效期的说法,也不再要求混合特殊字符。以上规则对账户安全并无用处──它们实际上还会让密码很不实用。较长但好记的短语胜过乱七八糟的字符,而且只有怀疑密码被盗时,才需要强制用户修改密码。
广告
文章,编辑 LX
图片来源于网络,版权归原作者所有
领取专属 10元无门槛券
私享最新 技术干货