查看原文
其他

这些年的QQ密码都白改了!专家认错:密码复杂难记反而不安全

2017-08-16 双语君 中国日报双语新闻


每当我们回想起和密码斗智斗勇的人生,都是满满的辛酸与痛苦……


密码设置规则复杂到怀疑人生……


▲对不起,您的密码必须包含一个大写字母、一个数字、一个俳句、一个黑帮标志、一个象形文字,以及一滴处女血。


当你努力从用过的20个密码中回忆起正确的那一个时……



无论如何都想不起来,只好重设密码时……



It has become the bane of many office workers' existences: being forced to use complicated and difficult-to-remember passwords laden with random numbers and symbols.

这已经成了办公室职员痛不欲生的根源:绞尽脑汁想出掺杂各种数字和符号的密码,又复杂又难记。


bane:烦恼之源;祸根


而引发这些痛苦的人,最近竟然公开说,他错了,这些复杂的密码设置建议根本不能确保安全!


The man who originally came up with the rules on safe passwords has admitted that his guidance was totally wrong, 14 years after it was first published.

提出这些安全密码规则的人最近承认,自己14年前写的指导方针完全错了。



这个人叫比尔·伯尔(Bill Bur),他曾在2003年为美国政府撰写了一份文件,现在俨然已被全球机构视为保障密码安全的“圣经”(the "bible" on password security)。


While working for the National Institute of Standards and Technology in 2003, Bill Burr wrote "NIST Special Publication 800-63. Appendix A" — a document that included the widely adopted recommendation that strong passwords should include a range of characters and should be changed every 90 days.

2003年,在美国国家标准与技术研究院工作的比尔·伯尔撰写了《美国国家标准与技术研究院特别出版物800-63,附录A》。该文件包括了如今被广泛推荐的密码使用规范,如安全级别强的密码要包含一系列字符,且每过90天要更换一次密码。


想起来那些年修改过的QQ密码……



在近日接受《华尔街日报》(The Wall Street Journal)采访时,已经退休了的72岁的比尔·伯尔却表示,他后!悔!了!


撰写了密码准则的人现在有了新主意:N3v$rM1^d!(nevermind,别费事了)


比尔·伯尔在2003年的报告中建议密码使用数字、奇怪的字符、大写字母等,还要经常更换,如今他后悔犯了这个错误……


他在采访中说:


“Much of what I did I now regret. In the end, it was probably too complicated for a lot of folks to understand very well, and the truth is, it was barking up the wrong tree.”

对于当时定的大多数规则,我现在都后悔了。到最后,对于大多数人来说,这些规则还是太复杂了,太难懂了,而且真相是,当时并没有找对事情的症结。



为什么这么说呢。


首先,因为规则太繁琐,很多人为了偷懒,会用些很容易破解的套路来设置密码。


His advice steered everyday computer users toward lazy mistakes and easy-to-predict practices.

他的建议让普通电脑使用者走上了另一条不归路,就是犯一些偷懒造成的错误,设一些一猜就准的密码。


比如,我们可能会用一些数字或符号来代替形似的字母,比如“P@ssW0rd”……


MickeyMous$e!这种设密码的小把戏对于黑客来说都太容易破解了,谁都知道$代表的是s……

或者在一个单词后面加上123,如football123……


While that may make it seem secure on the surface, the issue is that most people tend to use the same exact techniques when crafting these digital combo locks. That results in strings of characters and numbers that hackers could easily predict and algorithms that specifically target those weaknesses.

这种密码表面上看起来很保险,但问题是,太多人用相同的套路来设置密码了。这就产生了一连串黑客极易破解的字符和数字,以及一些专门针对这种漏洞的算法。


而且,因为密码太难记,人们还经常为不同的平台账号设置相同的密码。


Users would end up using the same password repeatedly, or writing them down on post-it notes.

很多人会重复用同一个密码,或者把它们记在便利贴上。



然后就是每隔90天就换一次密码的规定。


This advice, which was then adopted by academic institutions, government bodies, and large corporations, pushed users to make easy-to-crack passwords.

这个建议当时被众多学术机构、政府机关和大公司采用,逼得用户想出了一些很容易被破解的密码。


比如你好不容易想出了一个特别“复杂”的密码,有“!”、“?”,还有数字123,到下一次该换密码的时候,为了省事,你是不是就只替换掉其中几个符号,或者把1换成2了……


When prompted to change a password, who hasn’t altered it only slightly to avoid the hassle of coming up with an all-new code?

被提醒换密码的时候,谁还不是只在原密码的基础上改变一点点,才懒得重新想一个新密码呢。



所以,伯尔那套“不人性”的复杂建议,到最后适得其反地产生了各种轻易被盗的密码……


老人家懊悔地说:


“It just drives people bananas and they don’t pick good passwords no matter what you do.”

这些建议把人们都搞疯了,反正不管你怎么建议他们都不会想个好密码。



那么到底什么样的密码才安全呢?


专家修正了之前的观点,现在给出的建议是:要长长长长长长长长长……


A re-write of "Special Publication 800-63" in June changed the guidelines.

6月份出版的修订版“特别出版物800-63”改写了密码设定指南。


They now advise that people use long but easy-to-remember “passphrases”, a sequence of words that do not need to feature special characters or numbers.

现在他们建议大家使用长且容易记的“密码短语”,也就是一串单词,但不用包含特殊符号或数字。


所以像“hahayoudon'tknowmypassword”这样的密码可能要花上几百年才能被僵尸网络攻击程序( a botnet cyber attack)破解,而像“P@55w0rd”这种,一分钟就被破解了。


是不是突然找到设密码的乐趣了……


密码:thereisnocafebutwhatyoumake(没有咖啡要喝自己泡)


但专家提醒,下面这些密码还是不要用哦:


► Previously breached passwords

之前已经被盗过的账号密码


► Dictionary words

字典里的单词


► Repetitive or sequential characters

重复的或成序列的字符。比如,aaaa、1234abcd


► Context specific words, such as usernames or derivatives

与特定背景明显相关的词,比如你的用户名,或根据用户名延伸出来的密码


我把密码改成了“incorrect”,

以后我要是忘了密码,电脑就会告诉我,

“your password is incorrect”。


2016年最差密码榜希望你没上榜


下面双语君(微信ID:Chinadaily_Mobile)就给大家盘点下 “2016年最差密码”。


《福布斯》:2016年最差密码和2015年一样差(所以,拜托告诉我你的密码没上榜)


这是密码管理公司飞溅数据(SplashData)每年一度发布的榜单。(别问我为什么是2016年的,因为2017年的还没出来……)


123456和password,多年荣登“最差密码榜”,并稳居前两名。


另外,把password改成passwOrd、password1也不会让你的密码更安全哦。


zaq1zaq1、1qaz2wsx、qwertyuiop这样看起来很复杂的,如果你看一下键盘,就知道了……



下面送上完整榜单,看看你的密码上榜没……



2016年最差密码榜


123456

password

12345

12345678

football

qwerty

1234567890

1234567

princess

1234

login

welcome

solo

abc123

admin

121212

flower

passw0rd

dragon

sunshine

master

hottie

loveme

zaq1zaq1

password1



最后,一起来说说你和密码过招的血泪史吧。



编辑:左卓 唐晓敏





推荐阅读


铁证如山!日本NHK电视台首次曝光731部队认罪录音,真相触目惊心……


北大清华被挤爆,剑桥牛津到处都是人人人人,为啥大家都爱逛名校?


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存