现代密码要求数字与字母混合、大小写，发明者很后悔

现代密码要求超过一定长度的数字及字母、有的要求大小写、还要90天更新，令使用者困扰不已。现在，发明这项密码规则的人对此感到抱歉。而今年NIST也更新了密码的要求。

前全国标准与技术协会（National Institute of Standards and Technology, NIST）担任经理时提出这项规则的Bill Burr本周在接受华尔街时报访问时如此表示。

2003年他和一群学者撰写了NIST特别出版论文800-63号的《电子验证指导原则》，其中在附件A列出了密码要求，包括大写字母、非数字的符号，以及最少一个数字等规则。他甚至还建议最好定期更换密码。他在访问中表示对当时做的事感到歉意，表示这些规则对大部分使用者来说太复杂，而且对于强化安全性，这种作法也是方向搞错了。 

因为NIST制订的密码原则广为企业、学校及政府机关采用，也使得取、记密码成了绝大多数人的梦魇。由于记不住密码，大部分使用者则发展出写在便利贴贴在屏幕上、或是干脆取“password”及“123456”等密码，这类字串已经蝉连数年最常用密码的前几名。 

也有人因此发展出P@ssW0rd123!这种兼具大小写、并以数字及符号取代字母的密码规则，然而重复使用这种规则的结果是骇客更容易预测及破解密码。

2011年一则经典的xkcd漫画就道出破解这类密码并不难。一个Tr0ub4dor&3由于符合大小写、数字替换及特殊符号运用的规则，以电脑破解只要3天即可，但简单而有意义的字串反而需要550年，漫画并写着：人类花了20年终于成功训练每个人使用一种人类记不住，但电脑很容易猜出的密码。  

NIST在今年6月颁布了由Paul Grassi担任技术顾问撰写的新一批安全文件，包括数位身份与验证及生命周期管理等指导原则，则将密码规则修正，例如将一些使用者可记忆的文字组成字串的密词（passphrase），像是Puffineatingbanana，人类容易记忆，但电脑得花数百万年才破解得了。文件指出，密词和密码用途类似，但通常长度更长也更安全。 

但华尔街时报引述Grassi肯定了Burr对电脑业界的贡献，表示后者撰写的安全文件用了10到15年，他希望他的文件也能用那么久。