長度不低於8位數、包含大小寫英文複雜密碼難記卻更易被電腦破解規則發明人：帶來不便十分抱歉

By Valerie on 27 Oct 2023

Digital Editor

每當注冊新用戶時，不少平台對密碼的設置要求，都讓人覺得比起防盜，反而更像要防止自己登入。這些規定通常要求密碼長度不得低於8位數、必須同時包含大小寫英文、數字、符號，且相同字元不得重複超過3次、英文或數字間不得連續等，導致記性不好的用戶在下一次登入時登入失敗。

Photo from Licensing

近日，設置這項密碼規定的發明人站出來道歉，稱自己因此讓網民帶來不便而感到十分後悔。《華爾街報道》，這位發明人名叫Bill Burr，於1980年代任職美國國家教準技術研究所（NIST）主管。他在2003年草擬了一份共8頁的「NIST 特別刊物 800-63. 附錄 A」指南，詳細列出建立安全密碼的規則，包括加入奇怪而無意義的字、大寫英文和數字等，並建議時常更換密碼。自此演變成如今複雜的密碼規範。

現年72歲的Burr早已退休，他於今年8月接受《華爾街日報》訪問時表示，這份指南是在網絡還未普及的1980年代完成，且當時研究報告並不深入，放到現在很多規則可能都放錯了重點。對此，他感到十分後悔，也對因此受到困擾的人們感到抱歉。

Photo from BBC

然而，事實上在防止賬戶被盜的考量上，Burr的理念並無問題，複雜密碼的形成也並不能完全怪在Burr頭上。因為在那個年代，NIST無法預測網絡普及化、人們越來越怕麻煩的惰性。

Photo from XKCD

如今，全球排名第一的常用密碼也是password或123456。即便要求用戶根據規則來設置密碼，也有可能會是Pa55word!1；時限一過，被要求改密碼時，也只是改成Pa55word!2，更多只求好記。

報道續指，隨著電腦運算能力的越發強大，對人類來説越是複雜、形同亂碼的密碼（如Tr0ub4dor&3），電腦卻能輕易破解；而隨機詞組組合密碼（如correcthorsebatterystaple），以每秒猜1000次計算，電腦卻需要費時550年才能破解。因此，目前NIST已將密碼設置指南從「強調字符規則」改為「強調密碼長度」，未來指南將如何演化而則不得而知。