複雜密碼總是記不住?FBI建議這樣設計更安全也更好記
▲FBI指出,與其使用難記的短而複雜的密碼,不如考慮使用更常的短語作爲密碼。(圖/取自免費圖庫Pixabay)
「密碼」如今已成爲現代人生活不可或缺的一部分,而這十幾年來,安全專家也一直在討論究竟怎樣的密碼才真正安全。聯邦調查局(FBI)在每週技術諮詢專欄中表示,與其使用難記的短而複雜的密碼,不如考慮使用更常的短語作爲密碼。
FBI指出,密碼的設計可用簡單的兩個詞來概括:「長度」與「複雜性」,而「長度」又比「複雜性」重要得多。FBI建議,密碼可採多個單詞組合成至少15個字符的長字符串,「短語密碼的長度使其更難以破解,同時也更容易記住。」這並非一個全新的概念,此前包括美國國家標準暨技術研究院(NIST)及網路安全公司SplashData都曾有過類似的建議。
此概念與知名網路漫畫「correct horse battery staple」相呼應,該漫畫比任何冗長的論文都更好解釋爲何以短語作爲密碼更難猜卻更容易被記住。漫畫中比較了「Tr0ub4dor&3」及「correct horse battery staple」兩組密碼的破解時間,以一秒猜1000個密碼來計算,「Tr0ub4dor&3」僅需3天就能破解,而「correct horse battery staple」這4個詞去掉中間的空格後,需耗時550年才能破解。
過去我們總認爲像「G5e * cbCy74Tm $ * SZthE7igp7L」這樣的密碼相對安全,但這種密碼除了難以破解外,使用者本身要記住也相當困難。而像長度相同的「FantasticYellowBowledHair」這樣4個簡單單詞組合的密碼,便能在同樣難以破解的情況下,令使用者更容易記得住。
事實上,近期已有愈來愈多的組織開始呼籲人們不要過度依賴密碼,如成立於2017年的FIDO聯盟(Fast IDentity Online Alliance)即正致力於幫助世界減少對密碼的依賴。FIDO聯盟執行董事希奇亞(Andrew Shikiar)指出,將多個複雜的密碼記住是個「巨大的挑戰」,「這種困難使人們傾向使用容易記住及重複使用的密碼,從而加劇了密碼的風險。」
近來許多專家開始建議應完全擺脫「輸入密碼」這種驗證形式,改採以手機USB安全密鑰及生物特徵掃描(如指紋辨識)等方式來登入。舉例來說,目前中國大陸已開始使用QR Code及臉部辨識來付款。不過希奇亞也提醒,上述方式仍需克服行爲及設備的升級週期,「當人們開始意識到,在手機上被稱作『解鎖』的行爲,現在也可以用來『登入』,即可真的擺脫對密碼的依賴。」
►別再用「123456」當密碼啦!BBC教你自創好記又不易攻破的安全密碼►3大密碼流言破解!混合字符、頻繁更換無助於密碼的安全性