你之前遵守的密码规则都错了长短语才是硬道理

　　如果你经常上网，并比较关心密码安全的话，你肯定看见过不少如何设置密码的建议。这些建议大多来自2003年时任美国国家标准与技术研究院中层主管的比尔·伯尔(Bill Burr)撰写了《NIST特别出版物800-63，附录A》。在这份指南中，作者建议使用奇怪的字符、大小写字母和数字运用拼凑密码，而且最好定期更换。 

　　经济日报-中国经济网科技频道近期注意到，撰写该指南的作者近期表示，之前的关于设置密码的建议并不正确。今年6月该机构发布了重新修订的关于设置密码的建议，该团队本来以为仅仅需要将原来的建议做简单修改即可，但随着研究的进行，发现之前的建议几乎全都是不正确的。 

　　之前的建议中曾建议用户每90天更换一次密码，但在实际当中，很多人要不忽略这一条，要不每次更改做出的改变都十分微小，如果有人知道之前的密码，更改过的密码也很容易被猜到。比如把“Mima！01”改为“Mima！02”，破译这种更改非常容易。新版本当中已经去掉了这条建议。此外关于使用混合字符的建议也被取消了。 

　　根据最新的研究，字符长度和安全度相关性较高，也就是说越长的密码越安全。外国曾有一则颇受欢迎的漫画，里面提到，如果想要破解“correct horse battery staple”（正确的马电池订书钉）需要花费550年；而破解典型的安全密码“Tr0ub4dor&3”只需要3天。很多电脑安全专家证实过这个说法。 

　　现在的建议还去掉了关于定期更换密码的建议，新的建议是，除非你觉得你的密码已经不安全了，否则你不需要更换密码。 

　　之前的密码建议之所以“不靠谱”也是有历史原因的，伯尔表示在撰写那份指南时，还是2003年，当时可以参考的数据实在太少了。伯尔曾经向同事们索要密码以研究，但是被同事们以隐私为由拒绝了。最终，伯尔只能在没有实际密码数据作参考的情况下撰写那份密码设置指南。 

　　伯尔密码规则最大的问题在于效果不好，虽然它有十分复杂的规则，但是实际使用中却不能保证密码的安全性，反而因为复杂的规则，给使用者带来了不必要的麻烦。在网路安全越来越重要的今天，研究密码的专家们有了更多的数据帮助他们判断该如何制定密码。 

　　卡内基梅隆大学的一位教授多年以来致力于研究差劲的密码，2015年，她用500个常见的密码制作了一条蓝紫色连衣裙，并穿着它参加了斯坦福大学举办的白宫网络安全峰会。裙子上有着世界上最常见的密码“123456789”、“nicole”、“iloveyou”等。 

　　经济日报-中国经济网科技频道发现，常用密码是这世界上最不安全的密码了，如果你的密码属于500个常用密码之一，哪怕它完全符合伯尔规则，任何一个黑客也仅需要500就能试出你的密码。 

　　新版密码指南的负责人听到伯尔的自责后表示，他对自己制作的2003版指南苛责太多，“他写了一份能使用10至15年的安全文件，我希望我也能做到这一点。”（王蔚）