※ 本文為 MindOcean 轉寄自 ptt.cc 更新時間: 2017-08-14 18:31:29
看板 Gossiping
作者 標題 [新聞] 密碼聖經作者:對不起!我教的密碼設定都
時間 Mon Aug 14 14:51:26 2017
密碼聖經作者:對不起!我教的密碼設定都是錯的
鏡週刊 2017年8月14日 上午5:00 YAHOO
您一定也有過盯著電腦上的空格,絞盡腦汁地想要依照專家建議想出一個好記又不好猜的
密碼,想得面紅耳赤、猛拔頭髮的經驗。在體驗過這樣的煎熬之後,現在從國外卻傳來一
個令人抓狂的消息:那些建議,根本就是錯的。
密碼,想得面紅耳赤、猛拔頭髮的經驗。在體驗過這樣的煎熬之後,現在從國外卻傳來一
個令人抓狂的消息:那些建議,根本就是錯的。
美國國家標準技術研究所(NIST)2003年出版的1份文件附錄,只有8頁,但這短短8頁內
容卻是公家機關和民營企業未來10幾年內,設定帳戶密碼時的參考準則。附錄中建議電腦
使用者在設定自己的密碼時,可以使用好記的簡短字眼,但必須交替使用大小寫,將部分
字母替代為特殊符號,像是P@ssW0rd123!,或是MonKEyl!,而且最好是每3個月就固定更
改密碼。
容卻是公家機關和民營企業未來10幾年內,設定帳戶密碼時的參考準則。附錄中建議電腦
使用者在設定自己的密碼時,可以使用好記的簡短字眼,但必須交替使用大小寫,將部分
字母替代為特殊符號,像是P@ssW0rd123!,或是MonKEyl!,而且最好是每3個月就固定更
改密碼。
當年負責執筆這份密碼寶典的,是1位標準技術研究所裡的中階主管,名叫Bill Burr。最
近他接受華爾街日報的訪問時坦承:「我現在很後悔寫些了那些東西…因為到頭來,我的
準則對一般人來說太複雜了,不易理解,而且老實說,根本就搞錯方向。」
近他接受華爾街日報的訪問時坦承:「我現在很後悔寫些了那些東西…因為到頭來,我的
準則對一般人來說太複雜了,不易理解,而且老實說,根本就搞錯方向。」
Bill Burr之所以公開坦承錯誤,是因為NIST最近著手修訂這份密碼準則,才發現裡面的
內容早已不合時宜,甚至根本就不正確,到最後乾脆放棄修訂,全部重寫。
不少資安專家對NIST的決定並不感到意外,因為早從好幾年前,網路上就開始流傳一張漫
畫,用圖像化的方式比較了2種密碼設定方式的優劣。如果按照NIST密碼寶典的建議,設
定類似「Tr0ub4dor&3」這樣的短密碼,駭客只需3天就能破解;而若是改用4個不相干的
英文字,例如「correct horse battery staple」,去掉字間空格,連起來當成1個長密
碼,駭客想要破解就得花上至少500年的時間,難度暴增。
畫,用圖像化的方式比較了2種密碼設定方式的優劣。如果按照NIST密碼寶典的建議,設
定類似「Tr0ub4dor&3」這樣的短密碼,駭客只需3天就能破解;而若是改用4個不相干的
英文字,例如「correct horse battery staple」,去掉字間空格,連起來當成1個長密
碼,駭客想要破解就得花上至少500年的時間,難度暴增。
近年來網站遇駭事件頻傳,從駭客外洩出來的帳戶密碼當中,可以發現許多使用者在選擇
密碼時,為了遵照NIST所訂下的奇怪規則,又怕密碼太拗口自己記不住,結果都很有默契
地使用了類似撇步來設定密碼,像是把a換成@,把o換成數字零,讓駭客輕易就試出了可
能的密碼組合。而每90天換一次密碼的建議,更是折磨人,導致很多人偷懶只換掉其中1
個數字,完全失去更換密碼的意義,又徒增民眾困擾。
密碼時,為了遵照NIST所訂下的奇怪規則,又怕密碼太拗口自己記不住,結果都很有默契
地使用了類似撇步來設定密碼,像是把a換成@,把o換成數字零,讓駭客輕易就試出了可
能的密碼組合。而每90天換一次密碼的建議,更是折磨人,導致很多人偷懶只換掉其中1
個數字,完全失去更換密碼的意義,又徒增民眾困擾。
因此,未來新版的密碼準則將改為建議民眾使用多個單字連結起來的長密碼,而且除非帳
戶有被駭跡象,並不需要頻頻更換密碼。
Bill Burr曾在越戰期間替軍方編寫大型電腦程式,目前已退休,高齡72。對於自己編寫
的密碼聖經有誤,他解釋2003年那時並不像現在網路那麼發達,沒有太多資料可以參考,
所以他只好拿80年代的一份白皮書作範本,交差了事,結果很快就證明了科技變化的速度
太快,任何「聖經寶典」都可能面臨在短短幾年內淪為廢紙的命運。
的密碼聖經有誤,他解釋2003年那時並不像現在網路那麼發達,沒有太多資料可以參考,
所以他只好拿80年代的一份白皮書作範本,交差了事,結果很快就證明了科技變化的速度
太快,任何「聖經寶典」都可能面臨在短短幾年內淪為廢紙的命運。
參考資料:WSJ, The Verge
https://tw.news.yahoo.com/密碼聖經作者-對不起-我教的密碼設定都是錯的-210000537.html
密碼聖經作者:對不起!我教的密碼設定都是錯的 - Yahoo奇摩新聞
您一定也有過盯著電腦上的空格,絞盡腦汁地想要依照專家建議想出一個好記又不好猜的密碼,想得面紅耳赤、猛拔頭髮的經驗。在體驗過這樣的煎熬之後,現在從國外卻傳來一個令人抓狂的消息:那些建議,根本就是錯的。 ...
您一定也有過盯著電腦上的空格,絞盡腦汁地想要依照專家建議想出一個好記又不好猜的密碼,想得面紅耳赤、猛拔頭髮的經驗。在體驗過這樣的煎熬之後,現在從國外卻傳來一個令人抓狂的消息:那些建議,根本就是錯的。 ...
https://goo.gl/DQGxxs
密碼聖經作者:對不起!我教的密碼設定都是錯的 - Yahoo奇摩新聞
您一定也有過盯著電腦上的空格,絞盡腦汁地想要依照專家建議想出一個好記又不好猜的密碼,想得面紅耳赤、猛拔頭髮的經驗。在體驗過這樣的煎熬之後,現在從國外卻傳來一個令人抓狂的消息:那些建議,根本就是錯的。 ...
您一定也有過盯著電腦上的空格,絞盡腦汁地想要依照專家建議想出一個好記又不好猜的密碼,想得面紅耳赤、猛拔頭髮的經驗。在體驗過這樣的煎熬之後,現在從國外卻傳來一個令人抓狂的消息:那些建議,根本就是錯的。 ...
--
聽說 在PTT推文時打自己的密碼 系統會自動幫你變成******** 是真的嗎?!
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 36.227.59.172
※ 文章代碼(AID): #1PaKXneb (Gossiping)
※ 文章網址: https://www.ptt.cc/bbs/Gossiping/M.1502693489.A.A25.html
→ : passwork1F 08/14 14:51
→ : 幹你騙我
→ : 幹你騙我
推 : 聽說批踢踢密碼都3F 08/14 14:52
→ : 真的,你看 ********4F 08/14 14:52
→ : ******** 真的ㄝ5F 08/14 14:52
推 : p@ssw0rd 萬用6F 08/14 14:52
→ : 行動通訊時代,兩步驗證比較實際啦7F 08/14 14:52
→ : bill burr就去講脫口秀就好了 教什麼密碼8F 08/14 14:52
推 : ikS4559F 08/14 14:52
推 : bill burr明明就是脫口秀主持人,想騙我?10F 08/14 14:53
推 : ILOVEMA1911F 08/14 14:53
→ : 這什麼爛新聞12F 08/14 14:53
推 : idiottryit13F 08/14 14:53
推 : 1234563414F 08/14 14:53
→ : 屁啦15F 08/14 14:53
→ : 騙人的吧 ********16F 08/14 14:53
推 : ********17F 08/14 14:53
→ : 簽名檔騙屁18F 08/14 14:53
→ : loveOTAKU12345619F 08/14 14:53
推 : S69481620F 08/14 14:53
推 : 是歐21F 08/14 14:53
推 : 0000000022F 08/14 14:55
推 : IloveXXXXGAYforever23F 08/14 14:55
→ : 公司強制半年換密碼,根本無意義嘛!24F 08/14 14:55
推 : 這傢伙不是那個表演單口相聲的嗎25F 08/14 14:56
→ : EATSHIT 真的耶26F 08/14 14:56
→ : loxiabejiadiaugun27F 08/14 14:56
噓 : 非核准28F 08/14 14:57
→ : ptt密碼可以輸入幾個字?29F 08/14 14:58
推 : fuckyouidiot 沒有啊!30F 08/14 14:58
推 : ********31F 08/14 14:58
→ : 真的耶
→ : 真的耶
推 : Jiwkauaigreosusul33F 08/14 14:58
→ : 樓下不要偷試我密碼34F 08/14 15:00
推 : 難怪我馬賽克都解不了35F 08/14 15:00
推 : jabshogsgov36F 08/14 15:02
推 : ************ 真的耶 會自動隱蔽37F 08/14 15:03
推 : m0n9b8lpokijhu38F 08/14 15:03
推 : cuekrndjs39F 08/14 15:04
推 : howdoyouturnthison40F 08/14 15:04
推 : 就是你這砸碎害我每三個月要想一次新密碼,幹你娘41F 08/14 15:04
→ : ********真der耶!42F 08/14 15:05
推 : 有些銀行密碼真的超機車,三不五時就要強制更換,不能照43F 08/14 15:05
推 : Bang44F 08/14 15:05
→ : 幹你騙我
→ : 幹你騙我
→ : 以前的密碼、相似度不能50%,字數就算了還規定要放特殊46F 08/14 15:06
推 : 來試試看 iamgay47F 08/14 15:06
→ : 幹被騙惹
→ : 幹被騙惹
→ : 符號,最後改到我每次要用卡都要被鎖卡一次重新換密碼49F 08/14 15:06
推 : *****************50F 08/14 15:06
推 : 1111111151F 08/14 15:06
推 : pooznn52F 08/14 15:08
推 : ***********53F 08/14 15:08
→ : fukingIdiot54F 08/14 15:10
推 : *********真的欸55F 08/14 15:10
推 : ********56F 08/14 15:11
推 : 1qaz@WSX3edc 請問這組密碼可以登入多少軍方的個人電腦?57F 08/14 15:11
→ : sam002258F 08/14 15:11
→ : 沒變啊
→ : 沒變啊
推 : 948798760F 08/14 15:12
推 : ijoklplp456761F 08/14 15:12
→ : 被騙了?62F 08/14 15:12
推 : 最難猜的密碼應該是用英文鍵盤打注音輸入的中文 完全沒規則63F 08/14 15:12
→ : 幹被騙64F 08/14 15:12
推 : Bill bur?65F 08/14 15:13
推 : 那可以用無蝦米字根當密碼嗎?66F 08/14 15:14
推 : 注音碼轉英文很難破吧67F 08/14 15:20
推 : 全世界只有中華民國在用注音好嗎68F 08/14 15:21
推 : 測試 *********** 有成功嗎?69F 08/14 15:21
推 : brfjg333f70F 08/14 15:22
推 : Bill burr 原來除了會講脫口秀還會寫程式71F 08/14 15:23
推 : 欸欸欸欸72F 08/14 15:24
推 : Bill Burr 必推73F 08/14 15:27
推 : 最政治不正確的那個bill burr?74F 08/14 15:27
推 : 媽的那個方式根本智障75F 08/14 15:31
推 : 講你的脫口秀幹76F 08/14 15:31
推 : bill burrrrrrrrrrrrrrrr~~~77F 08/14 15:34
推 : stupidpig556678F 08/14 15:36
→ : ㄟ幹怎麼被騙了
→ : ㄟ幹怎麼被騙了
推 : ******80F 08/14 15:38
噓 : 我不相信這爛梗有用81F 08/14 15:38
→ : ************
→ : 真的可以耶!好神奇喔
→ : ************
→ : 真的可以耶!好神奇喔
推 : 純數字用個軟體測,測對就停比較簡單84F 08/14 15:42
推 : Liamishandsome85F 08/14 15:43
→ : ....
→ : ....
噓 : 幹你娘勒87F 08/14 15:43
推 : kcufahah88F 08/14 15:43
推 : 讓我試試 *******89F 08/14 15:44
→ : 扯
→ : 扯
推 : 國軍電腦的密碼都是1QAZ2WSX 3EDC4RFV 5TGB6YHN91F 08/14 15:47
→ : ggininder92F 08/14 15:47
→ : 幹 騙我
→ : 幹 騙我
→ : Bill but 脫口秀超好笑94F 08/14 15:48
推 : *************95F 08/14 15:48
噓 : 又在玩梗96F 08/14 15:52
→ : mayshowgunmore97F 08/14 15:54
噓 : 爛老梗玩不膩?98F 08/14 15:56
推 : 注音轉英文應該最難,不懂注音解不了吧99F 08/14 15:56
推 : 拿80年代的一份白皮書作範本交差了事 專家也會抄功課100F 08/14 15:56
推 : 設成mayshowgunmore駭客猜1000年也猜不到101F 08/14 15:59
→ : 講脫口秀就跩上天啦102F 08/14 16:01
推 : 聖經是騙子寫的103F 08/14 16:01
推 : 國軍的不都是輸入沒有密碼嗎104F 08/14 16:03
推 : 25@erer998105F 08/14 16:06
→ : 幹!
→ : 幹!
推 : ******107F 08/14 16:08
→ : 自己的密碼108F 08/14 16:09
→ : 騙肖欸
→ : 騙肖欸
推 : quierosexocontigo110F 08/14 16:10
推 : ******** 哇 以前都不知道有這功能111F 08/14 16:10
推 : ************112F 08/14 16:14
→ : 真的耶
→ : 真的耶
推 : ********114F 08/14 16:16
→ : 太誇張了吧
→ : 太誇張了吧
噓 : 幹你的又是個叫bb的雜碎116F 08/14 16:22
推 : howdoyouturnthison117F 08/14 16:29
→ : ***********118F 08/14 16:30
推 : xcbz686119F 08/14 16:31
推 : showmethemoney120F 08/14 16:32
推 : 應該用注音相對的英文打出來的密碼應該要破譯更久吧?121F 08/14 16:33
→ uhmeiouramu …
推 : tasiinwenciatai123F 08/14 16:41
推 : 明明就是一般人太懶124F 08/14 16:49
推 : *******************************************************125F 08/14 16:50
推 : *******126F 08/14 16:51
→ : 真的耶!
→ : 真的耶!
推 : 760528jay128F 08/14 16:56
推 : xxxxxxxxxxxxxxxgay129F 08/14 16:57
噓 : 低能爛梗 自high130F 08/14 16:57
推 : ***********************131F 08/14 17:03
推 : 新的方式跟我的密碼很像 準備幾個單詞 然後亂拼132F 08/14 17:10
推 : 這不是公開秘密嗎?***********133F 08/14 17:17
→ : .....超無言134F 08/14 17:24
噓 : 幹 害我公司和網銀密碼永遠記不起來135F 08/14 17:30
推 : 瞎爆136F 08/14 17:32
推 : 有人用win98的序號當密碼的嗎?137F 08/14 17:34
推 : 最好可以啦 ************138F 08/14 17:37
推 : 想一個中文單詞,然後換成注音對應的英數輸入,好記又夠複雜139F 08/14 17:40
推 : Bill burr也懂密碼喔140F 08/14 17:44
推 : s8923a7134 我的密碼有星星嗎?141F 08/14 17:44
推 : 我上次相信,樂透賺的p幣都沒了142F 08/14 17:46
→ : 看到Bill Burr就覺得很鬧143F 08/14 18:00
推 : rnt395601144F 08/14 18:06
→ : 沒有= =
→ : 沒有= =
推 : 我打賭中華民國政府一樣機關奉行不悖146F 08/14 18:06
推 : ℉μc k147F 08/14 18:08
推 : 脫口秀滿不錯的啊148F 08/14 18:09
推 : 虎爛的吧 ******** 哇操真的欸149F 08/14 18:14
→ : ****** 為什麼自動馬掉...150F 08/14 18:15
推 : ********151F 08/14 18:17
推 : 密碼教錯沒關係啊,yoyo大都是繞過就好了152F 08/14 18:22
推 : 拿個人名當密碼就很難猜了153F 08/14 18:24
推 : bill burr154F 08/14 18:27
推 : *********** 真的欸155F 08/14 18:27
--
回列表(←)
分享