資訊提供:圖文資通組

文章來源及發佈日:
https://ccc.technews.tw/2017/08/10/the-guy-who-invented-those-annoying-password-rules-now-regrets-wasting-your-time/
作者 linli 2017/08/10 08:15

在設定密碼時,我們總被告知要設置更複雜的密碼,為的就是提升帳戶的安全性。許多網站在用戶創建帳戶時都會要求密碼包含多個英文字母、數字和特殊字符,但最早建立這標準的人卻在 15 年後表示,複雜的密碼基本上沒什麼用。
建立這密碼標準體系的人是 Bill Burr,曾在美國國家標準與技術研究所擔任主管。2003 年 Bill Burr 負責起草一份 8 頁的指導文件,主題是如何設定一個安全的密碼,這份文件全面解釋了提升密碼安全性的要求,涉及電子信箱、個人帳戶和銀行帳戶等,所有系統的密碼都要求包括大寫英文字母、特殊符號和數字。
當時 Bill Burr 並不是工程師,他也不是網路安全方面的專家,起草這份文件時他也沒有太多資料參考。這位已退休的 72 歲老人揭開了複雜密碼標準背後的故事。他在接受華爾街日報採訪時表示,對於當初設置如此複雜的密碼標準,他非常後悔,在起草這份文件時他只是查閱了一些 1980 年代的論文,論文發表時還沒有網路服務,最終指定的標準有些過於複雜,甚至可能是一個錯誤的方向。
Bill Burr 設定的標準是能提升密碼的安全性,越簡單的密碼越容易被破解。令人感到意外的是 Bill 制定這種標準其實沒有任何技術上的依據。早期網路平台許多規則都沒有太多理論依據,比如說現今網址中雙斜線符號的應用發明者 Tim Berners-Lee 也曾經表態,對這個發明感到遺憾。