每个人都知道,创建复杂的字母数字密码是最糟糕的,更不用说记住它们了。我们差劲的密码技能已经催生了整个密码管理器业务。
现在看来,我们的麻烦可能是徒劳的,而制定复杂密码规则的家伙想要道歉。
这个人就是比尔·伯尔,他今年72岁,已经退休了。大约15年前,当他在美国国家标准与技术研究院(NIST)工作时,他写了一本后来基本上成为密码管理圣经的书:NIST特别出版物800-63。附录a:你可能从未听说过它,但你肯定熟悉它的规定:密码必须至少有一定的长度,包括一个数字、大写字母和小写字母,以及像感叹号或问号这样的特殊字符,必须每90天更换一次。
现在,伯尔说这个建议是错误的。伯尔说:“我现在对我所做的很多事都感到后悔《华尔街日报》(在一个新窗口中打开).
据《华尔街日报》报道,当伯尔撰写这份报告时,他没有太多的数据可以参考,迫于压力,他必须尽快拿出指导意见杂志.出于研究目的,他要求NIST的计算机管理员查看他们网络上的密码,他们对这个想法嗤之以鼻。因此,为了完成这项工作,他“严重依赖于写于20世纪80年代中期的白皮书”杂志报告。
伯尔说:“最后,它可能太复杂了,很多人无法很好地理解。”“这简直让人发疯,不管你怎么做,他们都不会选好密码。”
幸运的是,NIST特别出版物800-63最近收到了急需的一份重写(在一个新窗口中打开).每90天修改一次密码和使用特殊字符的规则已经消失了。NIST现在建议使用较长的密码短语,而不是复杂的字母数字密码,并且只有在密码被攻破时才会刷新密码。