Facebook创办人扎克伯格密码被破，到底什么样的密码最安全？

广告

NYISSUE ｜ 杂志

误导全世界十余年后，密码教父忏悔了

可能大家都知道，密码设置得很简单容易被盗号，比如开办了网络帝国Facebook的马克·扎克伯格。

黑客组织“OurMine”破解了扎克伯格的社群密码，并在他的Twitter上Po文: “嘿，我们入侵了你的Twitter、领英、Pinterest、Facebook账号，我们只是在测试你的密码安全性，请直接传简讯和我们联系”。当然，扎克伯格发现后，已经把这条状态删除了。

这个黑客组织还爆出了扎克伯格的社群密码，竟然是“dadada”这么简单的六个字母。

很多人会觉得，如果扎克伯格把密码设置得复杂一些，比如加入一些数字和大写字母，就不会被盗号了。但事实是不是这样呢？

密码教父的忏悔

2003年，时任美国国家标准与技术研究院中层主管的比尔﹒伯尔(Bill Burr)撰写了《NIST特别出版物800-63，附录A》(NIST Special Publication 800-63. Appendix A)。这份指南长达8页，建议用奇怪的字符、大写字母和数字拼凑密码，并且定期更换，保障账户安全。

绝大多数机构也都会在你设置账户的时候建议你这么做。这份文件兼职成了密码设置的圣经，众多政府机关、学术机构和大型企业在制定密码规则时纷纷效仿。

但是就是这本“密码圣经”的作者伯尔居然表示，他所说的都错了。

“对以前写的很多东西，我现在感到很遗憾。”伯尔说，他今年72岁，已经退休。

伯尔表示，其实这份文件中的大多建议都是错的。90天换一次密码？多数人做的更改微乎其微，很容易猜到。把密码从Pa55word!1改成Pa55word!2，黑客破解简直易如反掌。还有问题的一条是：密码里要有字母、数字、大写字母和特殊字符（感叹号或者问号之类的）──输入起来简直反人性。

密码圣经的来源

伯尔曾在越战时期为陆军的大型电脑编程，他编写指南时，本想参考现实生活中用户使用的密码数据。但2003年时这类资料很少，而NIST这份指南急于出版，时间很紧迫。

他征询过NIST的计算机管理员，想看看同事们用了什么密码，结果对方以隐私为由拒绝。

“他们特别诧异我居然会提出这么个要求。”伯尔说。

没了计算机密码安全的真实数据作为参考，伯尔只能依靠20世纪80年代中期出版的一本白皮书，那时消费者还没开始网上购物。

在那个年代起草这份指南，他已尽其所能。

“到最后，对于大多数人来说，这些规则还是太复杂，太难懂了，而且真相是，我当时并没有找到症结所在。”

什么样的密码最安全?

广告

在今天，密码研究人员表示，对于黑客来说，四个单词组成的长密码要比奇怪混乱的短密码难破解，因为一大堆字母就是要比很少的字母、字符和数字难处理。

电脑安全专家也证实，黑客想破解“correct horse battery staple”（正确的 马 电池 订书钉）这个密码，得花550年；而破解典型的伯尔法则式密码Tr0ub4dor&3，只需3天。

2017年，NIST发布了《特别出版物800-63》的彻底重修版，删掉了许多严苛的密码戒律。负责新版密码安全草案的是NIST的标准与技术顾问保罗﹒格拉西(Paul Grassi)，项目进行了两年，他说一开始团队成员都以为只要稍作编辑即可。

新版本里删去了密码有效期的说法，也不再要求混合特殊字符。以上规则对账户安全并无用处──它们实际上还会让密码很不实用。较长但好记的短语胜过乱七八糟的字符，而且只有怀疑密码被盗时，才需要强制用户修改密码。

广告

文章，编辑 LX

图片来源于网络，版权归原作者所有