什么样的密码最安全？误导全世界十余年后，密码教父忏悔了

源济

一份被称作“伯尔法则”的安全指南自2003年起被奉行至今年，它建议人们在密码中加入数字、奇怪的字符和大写字母，并定期更换──如今，该指南作者对自己的错误深感遗憾。

有关密码的安全指南正在改变。 图片来源：MOMENT EDITORIAL/GETTY IMAGES
ROBERT MCMILLAN
华尔街日报  2017年 09月 06日 16:59

著名密码管理指南的作者坦承：他错了。

2003年，时任美国国家标准与技术研究院中层主管的比尔﹒伯尔(Bill Burr)撰写了《NIST特别出版物800-63，附录A》(NIST Special Publication 800-63. Appendix A)。这份指南长达8页，建议用奇怪的字符、大写字母和数字拼凑密码，并且定期更换，保障账户安全。

这份文件成了密码设置的汉谟拉比法典，众多政府机关、学术机构和大型企业在制定密码规则时纷纷效仿。

伯尔表示，其实这份文件中的大多建议都是错的。90天换一次密码？他叹了口气：多数人做的更改微乎其微，很容易猜到。把密码从Pa55word!1改成Pa55word!2，黑客破解简直易如反掌。

还有问题的一条是：密码里要有字母、数字、大写字母和特殊字符（感叹号或者问号之类的）──输入起来简直反人性。

“对以前写的很多东西，我现在感到很遗憾。”伯尔说，他今年72岁，已经退休。

今年6月，NIST发布了《特别出版物800-63》的彻底重修版，删掉了许多严苛的密码戒律。负责新版密码安全草案的是NIST的标准与技术顾问保罗﹒格拉西(Paul Grassi)，项目进行了两年，他说一开始团队成员都以为只要稍作编辑即可。

“结果我们彻底重写了一遍。”格拉西说。

外界也陆续读到了新版指南，格拉西表示，新版本里删去了密码有效期的说法，也不再要求混合特殊字符。以上规则对账户安全并无用处──它们“实际上还会让密码很不实用。”他说。

密码制定规则在逐渐进化。 图片来源：BLOOMBERG

负责制定行业标准的美国国家机构NIST表示，较长但好记的短语胜过乱七八糟的字符，而且只有怀疑密码被盗时，才需要强制用户修改密码。

艾米﹒拉梅尔(Amy LaMere)在明尼阿波利斯一家商展陈列规划公司担任客户资源经理，每个月都要花一个小时记清楚数百个密码，她早就怀疑这完全是浪费时间。“要遵守这套密码规则，密码就更难记了。”她说，“然后我还得定期重置密码，花的时间就更多了。”

不过得知这套密码规则要推翻重来，她倒不生气，说自己这下感觉好多了。“我没说错吧，”谈到以前的规则她如是说，“这么做就是没意义的。”

密码研究人员表示，对于黑客来说，四个单词组成的长密码要比奇怪混乱的短密码难破解，因为一大堆字母就是要比很少的字母、字符和数字难处理。

漫画家兰德尔﹒门罗(Randall Munroe)有一则广为流传的作品，里面提到，黑客想破解“correct horse battery staple”（正确的 马 电池 订书钉）这个密码，得花550年；而破解典型的伯尔法则式密码Tr0ub4dor&3，只需3天。电脑安全专家也证实了这种说法。

伯尔曾在越战时期为陆军的大型电脑编程，他编写指南时，本想参考现实生活中用户使用的密码数据。但2003年时这类资料很少，而NIST这份指南急于出版，时间很紧迫。

他征询过NIST的计算机管理员，想看看同事们用了什么密码，结果对方以隐私为由拒绝。

“他们特别诧异我居然会提出这么个要求。”伯尔说。

没了计算机密码安全的真实数据作为参考，伯尔只能依靠20世纪80年代中期出版的一本白皮书，那时消费者还没开始在线购买DVD和猫粮。

起草这份指南，他已尽其所能。

“到最后，对于大多数人来说，这些规则还是太复杂，太难懂了，而且真相是，我当时并没有找到症结所在。”

虽然如此，NIST的密码指南却影响深远，不光是美国联邦政府，连企业网络、网站和移动设备设置密码时都遵循这套规则。

根据微软首席研究员科马克﹒赫尔利(Cormac Herley)估算，人类每天输入密码的时间加在一起超过了1,300年。微软一度曾按伯尔的规则设置密码，不过现在改了。

伯尔密码法则的最大争议在于效果不佳。伯尔承认：“它把人们都搞疯了，而且不管你怎么设置，都想不出好密码。”

近十年来，数据外泄愈演愈烈。黑客从MySpace、LinkedIn和Gawker Media等公司盗取了数以亿计的密码，贴在网上。

洛里﹒费斯﹒克兰纳做了一条连衣裙，上面印着500个最常见的密码。 图片来源：LORRIE CRANOR

研究人员也由此获得了充足的数据，他们得以深入了解，人们的密码在黑客破解工具下都有怎样的表现。而结论是：也许我们自以为密码设置得很巧妙，其实不然。我们总爱把老密码用上一遍又一遍。

2003年，伯尔苦于没有数据，无法了解这种现象。而如今，卡内基梅隆大学教授洛里﹒费斯﹒克兰纳(Lorrie Faith Cranor)却能把它展现得清清楚楚。多年来，她一直在研究各种差劲密码，2015年，她做了一条蓝紫色直筒连衣裙，上面印了500个最常见的密码，穿着它参加了在斯坦福大学(Stanford University)举办的白宫网络安全峰会。

裙子上点缀着全世界最常见的密码：“公主”、“猴子”、“我爱你”以及一些不便罗列于此的文字，人们仔细端详，然后觉出尴尬来。

“我把它们展示给大家看，他们的反应是‘啊，我得赶紧把密码给改了。’”克兰纳说。

NIST法则意在让我们的密码变得随机一点。然而它却催生出了一大片Pa$$w0rd和Monkey1!这种愚蠢套路。“如果你和一万个人都在用这种密码，那就不叫随机了。”微软研究员赫尔利表示。

负责编写NIST新版密码指南的格拉西认为，前同事伯尔对自己的2003版指南太过苛责。

“他写了一份能用上10到15年的安全文件，”格拉西说：“我倒希望我能写出这样的文件来。”

源济

做好这几步，远离盗号风险

互联网时代，连Facebook CEO扎克伯格都曾被盗号，谁能保证自己的网络账户不受到黑客威胁呢？《华尔街日报》的Nathan Olivarez-Giles在视频中介绍了检查自己个人信息是否受到威胁的方法，以及增强网络账号安全的技巧。视频/图片: Emily Prapuolenis/The Wall Street Journal.