http://hkm.appledaily.com/detail.php?guid=20115970&category_guid=15335&category=daily&issue=20170809
大小楷 數字 符號組合純屬擾民 密碼教父認「火星文」無助保安
密碼必須由大小楷字母、數字和特別符號組成,且要定期更改,這些遭全球無數用戶咒罵的登入密碼設定政策,始作俑者是美國國家標準技術研究所(NIST)一名中層經理。這位鮮為人知的「密碼教父」直認當年提出的指引是錯的,擾民之餘無助電腦網絡保安。NIST早前已發出新指引廢除有關建議。
NIST顧問格拉西指以往的密碼要求對保安效用影響不大。
過去十多年來被眾多政府機構、大企業和主要網站奉為金科玉律的密碼政策,出自2003年《NIST特別出版物800-63附錄A》,撰寫人伯爾(Bill Burr)現年72歲,已退休。回望這份影響深遠的文件,他悔不當初:「當年幹下的大部份事,我現在都在懊悔。」
疑密碼失竊才需更改
要求用戶使用「x6Q9!bW#」之類「火星文」密碼,原意是想令黑客無處入手,可是令用戶難以記起,故此往往都只是將常用字詞密碼小修小改,以滿足要求,如用「Pa$$w0rd」和「Monkey1!」,對於應付90日強制更改一次密碼的要求也一樣,如將「Pa55word!1」改為「Pa55word!2」,黑客不難猜中。
「火星文」密碼的另一宗罪,是用戶輸入密碼時要輸入字母、數字和符號,違反一般人打字慣性,徒令他們要花更多時間輸入。伯爾承認,這些政策「只令人們發怒,無論做甚麼,他們都不會挑選好的密碼」。
NIST經過兩年檢討後,今年6月發出新的《800-63附錄A》指引,取消了密碼必須包括數字和符號的要求,定時更改密碼亦改為懷疑密碼失竊才需要強制用戶改密碼,外界逐漸開始跟從。領導新指引撰寫工作的NIST顧問格拉西(Paul Grassi)表示,舊要求對加強網絡保安作用不大,「其實對可用性反有負面影響」。
長句反更易記難破解
新指引容許使用較長但較好記的英文字句作為密碼,並建議密碼系統應容許用長達64個字符的密碼。研究密碼的學者指出,由四個英文單詞組成的短句由於字符可能組合大得多,黑客想用程式逐個試來破解,難度其實遠高於字符短的「火星文」密碼。一個已透過漫畫形式廣傳的例子,就指黑客想破解「correct horse battery staple」密碼,需時550年,而破解「Tr0ub4dor&3」密碼,只需3日。
越戰年代曾為陸軍大型電腦編寫程式的伯爾,指他2003年撰寫密碼政策指引時,原本想參考現實世界用戶如何設定密碼的實證資料,但當時無甚這類資料,他想看看NIST同事用了甚麼密碼,電腦管理員也以私隱為由拒絕,在時間緊迫下,指引很大程度引用自1980年代中一份白皮書,但當時密碼保安只屬少數人要面對的問題。伯爾指舊指引的要求「對很多普通人來說可能太複雜,捉錯了用神」。
美國《華爾街日報》
I
没有评论:
发表评论