現代密碼要求數字與字母混合、大小寫，發明者很後悔

現代密碼要求超過一定長度的數字及字母、有的要求大小寫、還要90天更新，令使用者困擾不已。現在，發明這項密碼規則的人對此感到抱歉。而今年NIST也更新了密碼的要求。

前全國標準與技術協會（National Institute of Standards and Technology, NIST）擔任經理時提出這項規則的Bill Burr本周在接受華爾街時報訪問時如此表示。

2003年他和一群學者撰寫了NIST特別出版論文800-63號的《電子驗證指導原則》，其中在附件A列出了密碼要求，包括大寫字母、非數字的符號，以及最少一個數字等規則。他甚至還建議最好定期更換密碼。他在訪問中表示對當時做的事感到歉意，表示這些規則對大部份使用者來說太複雜，而且對於強化安全性，這種作法也是方向搞錯了。 

因為NIST制訂的密碼原則廣為企業、學校及政府機關採用，也使得取、記密碼成了絕大多數人的夢魘。由於記不住密碼，大部份使用者則發展出寫在便利貼貼在螢幕上、或是乾脆取「password」及「123456」等密碼，這類字串已經蟬連數年最常用密碼的前幾名。 

也有人因此發展出P@ssW0rd123!這種兼具大小寫、並以數字及符號取代字母的密碼規則，然而重複使用這種規則的結果是駭客更容易預測及破解密碼。

2011年一則經典的xkcd漫畫就道出破解這類密碼並不難。一個Tr0ub4dor&3由於符合大小寫、數字替換及特殊符號運用的規則，以電腦破解只要3天即可，但簡單而有意義的字串反而需要550年，漫畫並寫著：人類花了20年終於成功訓練每個人使用一種人類記不住，但電腦很容易猜出的密碼。  

NIST在今年6月頒佈了由Paul Grassi擔任技術顧問撰寫的新一批安全文件，包括數位身份與驗證及生命周期管理等指導原則，則將密碼規則修正，例如將一些使用者可記憶的文字組成字串的密詞（passphrase），像是Puffineatingbanana，人類容易記憶，但電腦得花數百萬年才破解得了。文件指出，密詞和密碼用途類似，但通常長度更長也更安全。 

但華爾街時報引述Grassi肯定了Burr對電腦業界的貢獻，表示後者撰寫的安全文件用了10到15年，他希望他的文件也能用那麼久。