好的密碼應該要「很複雜」還是「很長」?一份新密碼指南打破大眾認知

美國國家標準與技術研究院(NIST)近期發布了新的密碼管理指南,這份指南改變長期以來我們對密碼安全的認知。

NIST 的新指南《SP 800-63-4 數位身份指南》在今年 9 月發布,其中最特別的是,他們不再推薦使用複雜的字符組合和定期更換密碼的做法。相反,NIST 表示密碼長度才是最重要的

為什麼密碼複雜容易破解,長密碼才難以攻破?

這一改變的原因主要有三:

1. 用戶行為

複雜的密碼要求往往導致用戶採用不安全的做法,如重複使用密碼選擇容易猜測的密碼

例如,一個用戶可能創建了一個如「P@ssw0rd123!」這樣的密碼,然後在他們的電子郵件、銀行帳戶、社交媒體等多個平台上都使用相同的密碼,這種做法就很危險,因為如果一個帳戶被破解,所有使用相同密碼的帳戶都會面臨風險。

以及,為了滿足複雜性要求(如必須包含大小寫字母、數字和符號),用戶可能會採用一些可預測的模式。常見的例子包括:將簡單單詞的字母替換為類似的數字或符號(如 password 變成 p@ssw0rd)、在簡單單詞的開頭加上大寫字母,結尾加上數字和驚嘆號(如 Password123!)又或是使用鍵盤上連續的字母數字(如 Qwerty123!) 這些模式雖然看起來複雜,但實際上很容易被破解工具猜到。

2. 密碼熵

雖然複雜性可以增加密碼熵(熵是用來描述一個系統的混亂程度),但其實長度在這方面發揮更大作用。較長的密碼,可能的組合數指數級增加,即使字符本身較簡單

3. 運算能力的進步

現代運算技術使得破解短而複雜的密碼變得更容易,但長密碼仍然難以攻破。

現在都用生物辨識了,用密碼會不會太過時?

無論是過度使用複雜的密碼,還是選擇容易猜測的密碼,都被認為是不安全的,因為它們實際上降低了密碼的真實強度,使得密碼更容易被猜測或通過暴力破解方法攻破。

隨著生物辨識、多因素驗證等新技術崛起,不少用戶或是資安專家認為密碼已經過時,甚至認為密碼是資安漏洞的其中原因

NIST 的新指南則揭示了業界對密碼安全的誤解,旨在鼓勵用戶創建真正強大且易於記憶的密碼,而不是僅僅滿足表面上的複雜性要求。

 

You may also like...

發佈留言