密码政策专家　后悔倡议密码每90天改一次　有%&？符号其实没用

在电脑用户的10几年历程里，密码好少可会没有大小写字母、特殊符号和数字，经常更换密码更被形容为保护账户安全的“不二法门”。不过当初制定政策的伯尔称，自己“很后悔”当初建议。
如今，美国不再建议用户使用特殊符号和频繁更换密码，反建议应该用多个简短单词组成的长密码更为安全。

密码包含大小写字母、数字和特殊符号的要求源于2003年。当时美国国家标准与技术研究所（NIST）公布了设定电脑密码的范例文件（NIST Special Publication 800-63），建议用户使用复杂字符组成的密码，并建议用户每90天更换一次电脑密码，声称此举能防止黑客骇取密码。

此标准更被全球多间电脑公司采用，更成为不少电脑用家的“金科玉律”。但依然无法阻止近年全球多宗用户密码被盗取事件，安全性亦饱受质疑。

   建议制定者后悔当初决定

14年过去后，当时制定政策的伯尔（Bill Burr）已经退休，他接受《华尔街日报》访问时称，“后悔”（Regret）自己当年提出的密码建议。他称，大众误解了当初的建议，以为经常更换密码只需要更换密码中的个别字符，而不是当初设定的原意更换整组或大部分的密码字符。伯尔称，若把密码从“%Password!1”更换成“%Password!2”，不会减少密码被骇的可能性。

除更换密码无助提高账户安全性外，由包含大小写字母、特殊符号等组成的复杂密码安全性亦存疑。有研究团体曾按伯尔的密码制定要求设定密码，如“Tr0ub4dor!3”，结果仅用3日就已经顺利破解。

我以前所做的很多事情，现在却后悔了.....（设定复杂密码）只会让用户抓狂，无论你怎么做，他们也不会选择好的密码。

   新建议：设定易记长密码　不再要求经常换密码

复杂密码不合时宜，但设置长密码仍是保障账户安全的重要一步。早前已经有研究指出，密码的安全性与长度有关，越长的密码越难破解。用多个4字英语单词组成的密码，如“pickduckdeskhairnote”，会比多字符组成的较短复杂密码“Password!#2”更为安全。

今年6月，标准与技术研究所（NIST）更新了密码制定指引（Special Publication 800-63），建议用户设立由多个简单短语组成的长密码，不再建议在密码中使用特殊符号和频繁更换密码，提议用户仅在察觉自己的账户有不正常的登入行为后，才需要更换一个新的密码。

（综合报道）