密碼政策專家　後悔倡議密碼每90天改一次　有%&？符號其實沒用

在電腦用戶的10幾年歷程裏，密碼好少可會沒有大小寫字母、特殊符號和數字，經常更換密碼更被形容為保護賬戶安全的「不二法門」。不過當初制定政策的伯爾稱，自己「很後悔」當初建議。
如今，美國不再建議用戶使用特殊符號和頻繁更換密碼，反建議應該用多個簡短單詞組成的長密碼更為安全。

密碼包含大小寫字母、數字和特殊符號的要求源於2003年。當時美國國家標準與技術研究所（NIST）公布了設定電腦密碼的範例文件（NIST Special Publication 800-63），建議用戶使用複雜字符組成的密碼，並建議用戶每90天更換一次電腦密碼，聲稱此舉能防止黑客駭取密碼。

此標準更被全球多間電腦公司採用，更成為不少電腦用家的「金科玉律」。但依然無法阻止近年全球多宗用戶密碼被盜取事件，安全性亦飽受質疑。

   建議制定者後悔當初決定

14年過去後，當時制定政策的伯爾（Bill Burr）已經退休，他接受《華爾街日報》訪問時稱，「後悔」（Regret）自己當年提出的密碼建議。他稱，大眾誤解了當初的建議，以為經常更換密碼只需要更換密碼中的個別字符，而不是當初設定的原意更換整組或大部分的密碼字符。伯爾稱，若把密碼從「%Password!1」更換成「%Password!2」，不會減少密碼被駭的可能性。

除更換密碼無助提高賬戶安全性外，由包含大小寫字母、特殊符號等組成的複雜密碼安全性亦存疑。有研究團體曾按伯爾的密碼制定要求設定密碼，如「Tr0ub4dor!3」，結果僅用3日就已經順利破解。

我以前所做的很多事情，現在卻後悔了.....（設定複雜密碼）只會讓用戶抓狂，無論你怎麼做，他們也不會選擇好的密碼。

   新建議：設定易記長密碼　不再要求經常換密碼

複雜密碼不合時宜，但設置長密碼仍是保障賬戶安全的重要一步。早前已經有研究指出，密碼的安全性與長度有關，越長的密碼越難破解。用多個4字英語單詞組成的密碼，如「pickduckdeskhairnote」，會比多字符組成的較短複雜密碼「Password!#2」更為安全。

今年6月，標準與技術研究所（NIST）更新了密碼制定指引（Special Publication 800-63），建議用戶設立由多個簡單短語組成的長密碼，不再建議在密碼中使用特殊符號和頻繁更換密碼，提議用戶僅在察覺自己的賬戶有不正常的登入行為後，才需要更換一個新的密碼。

（綜合報道）