讓我們受苦於想出複雜密碼的始作俑者，說他也後悔了...

每一次收到 IT 部門的一封更改密碼提醒，相信大家都只會叫苦連天吧，到底要如何想出一個包括大小階、特別字元和數字的密碼組合，而且又不可以跟上一組太相似... 好吧，提出這樣複雜的密碼安全性建議的人，也公開地表示後悔了！美國國家標準與技術研究所（NIST）經理 Bill Burr 在 2003 年交出了一份密碼安全性建議，上面建議密碼應該要有大小階、特別字元和數字，而且還不忘提醒密碼應該定期更改。這樣的建議就成了諸多政經機構在要求使用者設置密碼時的規則。可是現年 72 歲的 Burr 在與華爾街日報的訪問中，卻說他對此一切都後悔了。

幸好 NIST 正在檢討這個「擾民」的密碼規則，而且也快要完成了。其中一個重要的改變是，只有出現某程度的保安漏洞時，才強制要求使用者更改密碼。說實話，要人在每 90 天就想一組那麼複雜的密碼，很多都是敷衍了事，這樣反而有著增加危險性的可能。

另外一個建議就是多用較長的短語，而非一串由大小階、特別字元和數字組成的短密碼，因為他們發現這樣強行加入特殊字元，反倒會得出更低安全性的密碼。而且草擬的建議中，還有建議不要跟那些常用密碼重複。

有興趣的朋友可以到 NIST 網頁中查看這草擬中的密碼組成建議，不過這建議也非強制式，所以也要看部門的 IT 主管要否應用了。

來源: The Wall Street Journal, NIST Special Publication 800-63B

經由: Engadget