大家是不是都有这样的经验呢?当你要设定新密码的时候,出现了这样的一行提示:密码长度不得低于 8 位数、必须同时包含大小写英文、数字、符号,且相同字符不得重复超过 3 次、英文或数字间不得连续……
相信大家都对这逆天的密码规则耿耿于怀,因为好像没加网站的注册规则并不统一!有的复杂,有的简单!这密码防的不是别人,防的是自己好不好!自己忘记密码的次数,远远远远要大于被别人偷盗的可能吧。
那你知道这种“反人类”的规则是谁发创造的吗?一切都始于近 15 年前,一名叫 Bill Burr 的美国国家教准技术研究所(NIST, National Institute of Standards and Technology)主管。Bill Burr 2013 年草拟了一份 8 页的指南,教大家怎么建立安全的密码,这份文件就叫做「NIST 特别刊物 800-63. 附录A」。里面建议大家设定密码要用奇怪而无意义的字加上罕见的字符、大写英文和数字,并且时常更换密码。
我们后来常看到的大小写、英数字规范,或多或少就是源自于这份文件,当时 Burr 的专业并非资安,而他现在已经 72 岁,也从研究所退休了。
随便说两句:现在有很多网站尤其是论坛,为了所谓的安全性考虑,用户注册时通常会要求设置安全问题,以我自己的经验来看,那几乎是毫无作用的,这些安全问题通常会让你从8个左右的问题选择一个进行回答,很多人为了简单易记,通常会选择生日,这本来是没有什么问题的,问题在于电脑是没有智能的,它没有所谓的时间概念。
相反,却有严格的格式概念,例如:某人生日是1980年1月1日,对于人来说,当某人问起你生日的时候,无论你是回答1980年1月1日,还是80年元旦,亦或是800101,都是一个概念,这个概念指向同一个目标,这个目标就是时间。然而对电脑来说,这几个却是完全不同的概念,对于电脑来说19800101与8011有着极大的差别,因而,有可能一些不同网站问你的是同一个问题,但是你在回答的时候却使用了不同的格式,这样注册多了,最后很可能连你自己都搞混了,有时候甚至会导致你自己连密码都修改不了。
所以,我的习惯是除非网站指定安全问题为必填,否则我一律不填,如果填的话,我会随便选择一个问题,并且任何网站的任何安全问题,我都使用同一个标准格式,以前我使用的是“关你鸟事啊”,电脑问我你小学上那所学校啊?你爱人叫什么名字?我都一律回答“关你鸟事啊”——本来我怎样就不关你电脑的事,还不是“关你鸟事”吗?!
……