123hao
知道这一消息的我内心是崩溃的。
曾几何时,QQ 是我们唯一的网络社交工具,为了守护好这颗独苗苗不被偷盗,我们用尽一切办法在密码上下功夫。如今依然清晰地记得,小学买过一本《小学生优秀作文大全》里有篇作文我读了一遍又一遍,作文内容主要是教大家怎么保护好自己的 QQ 密码。
文章中说要频繁修改密码、符号要复杂、输入密码的时候不要按顺序可以先输后几位再输前几位……频繁改密码和打乱输入顺序这两件事太耗费精力并没能坚持多久,但凭良心说,QQ 密码符号要复杂这么多年我一直照做不误,这一习惯也理所当然地延伸到了生活中每个可使用组合密码的平台中去。我相信我并不是孤单一个人。
怎样才能保障密码的安全性,并非由这位中国小学生首次提出,而是那位叫做比尔·伯尔的计算机密码专家。
2003年前,一份计算机密码设置指南手册在“坊间”广为流传。指南中有这么两点:
1.用户应频繁更换密码,最好每隔 90 天就修改一次密码。
2.最好使用组合密码,大小写字母、数字、符号统统加进去。比如“xiaozhuhaosha”设置成“X!a07huHa05ha”会更加安全,密码更加难以破解。
这种密码看起来简直像脸在键盘上滚过一样好笑,但很多人依然坚守“密码没有最复杂,只有更复杂”这一信条,并走到了今天。
比尔·伯尔正是这部指南的作者,现在他后悔提出这些愚蠢的建议了。他想更正这些建议并给出新的建议:
首先,用户其并不需要频繁更换密码。因为改密码实在太耗脑细胞,“懒惰”的用户可能只是把“xiaozhuhaosha”改成了“xiaozhuhaosha123”,这太好推断了,改成这样并没什么意义。
其次,容易记住的词进行部分替代反而更容易破解。比如“br0k3n”并不比“broken”更安全;但如果把一堆毫不相干的词汇堆到一起,破解难度就会大很多,比如“bread ghost eye wandered yes”这串密码的安全指数就很高。
最后,复杂的密码会导致用户记不住,于是写张小纸条贴在电脑上。这听起来很好笑,但仔细想想,那张写着你家那串长到怀疑人生的 WIFI 密码的小纸条,当真没有被压在电脑桌布下,而是安安静静存放在你脑海里的吗?
美国国家标准技术研究所(NIST)曾经宣传过伯尔的指南,英国国家网络安全中心(NCSC)也曾发布自己的指南。萨里大学教授阿兰·伍德沃德说:“ NIST 发布的任何东西都是有影响力的,所以这些指南影响了很长一段时间,我们已经知道这些指南造成了不良影响。”NIST 在今年 6 月份发布了最新版本的指南。而 NCSC 也建议用户放弃以前的指南,不要频繁更换密码。
知道真相的我竟然有点啼笑皆非。设置了这么多年的超复杂密码,突然变得“一文不值”,也不知道该说点啥。但是似乎有一点可以确定,那就是:
管他的,我!偏!要!使!用!组!合!密!码!