好的密碼應該要「很複雜」還是「很長」？一份新密碼指南打破大眾認知

美國國家標準與技術研究院（NIST）近期發布了新的密碼管理指南，這份指南改變長期以來我們對密碼安全的認知。

NIST 的新指南《SP 800-63-4 數位身份指南》在今年 9 月發布，其中最特別的是，他們不再推薦使用複雜的字符組合和定期更換密碼的做法。相反，NIST 表示密碼長度才是最重要的。

為什麼密碼複雜容易破解，長密碼才難以攻破？

這一改變的原因主要有三：

1. 用戶行為

複雜的密碼要求往往導致用戶採用不安全的做法，如重複使用密碼或選擇容易猜測的密碼。

例如，一個用戶可能創建了一個如「P@ssw0rd123!」這樣的密碼，然後在他們的電子郵件、銀行帳戶、社交媒體等多個平台上都使用相同的密碼，這種做法就很危險，因為如果一個帳戶被破解，所有使用相同密碼的帳戶都會面臨風險。

以及，為了滿足複雜性要求（如必須包含大小寫字母、數字和符號），用戶可能會採用一些可預測的模式。常見的例子包括：將簡單單詞的字母替換為類似的數字或符號（如 password 變成 p@ssw0rd）、在簡單單詞的開頭加上大寫字母，結尾加上數字和驚嘆號（如 Password123!）又或是使用鍵盤上連續的字母數字（如 Qwerty123!） 這些模式雖然看起來複雜，但實際上很容易被破解工具猜到。

2. 密碼熵

雖然複雜性可以增加密碼熵（熵是用來描述一個系統的混亂程度），但其實長度在這方面發揮更大作用。較長的密碼，可能的組合數指數級增加，即使字符本身較簡單。

3. 運算能力的進步

現代運算技術使得破解短而複雜的密碼變得更容易，但長密碼仍然難以攻破。

現在都用生物辨識了，用密碼會不會太過時？

無論是過度使用複雜的密碼，還是選擇容易猜測的密碼，都被認為是不安全的，因為它們實際上降低了密碼的真實強度，使得密碼更容易被猜測或通過暴力破解方法攻破。

隨著生物辨識、多因素驗證等新技術崛起，不少用戶或是資安專家認為密碼已經過時，甚至認為密碼是資安漏洞的其中原因。

NIST 的新指南則揭示了業界對密碼安全的誤解，旨在鼓勵用戶創建真正強大且易於記憶的密碼，而不是僅僅滿足表面上的複雜性要求。

【推薦閱讀】

◆ 違規罰 1500 萬！蒐集個資必須「去識別化」，誰該小心別踩線？

◆ 企業資安風險最高的 5 大資產揭曉！專家建議 4 大步驟降低威脅

◆ 台灣人遇到詐騙會多快付款？調查揭 10 大詐騙手法，社群媒體成新熱點

＊本文開放合作夥伴轉載，參考資料：《Forbes》、《NIST》，首圖來源：Pixabay。

（責任編輯：廖紹伶）

加入『 TechOrange 官方 LINE 好友』 掌握最新科技資訊！