什麼樣的密碼才是好密碼？

為什麼重要

真實性的驗證普遍依賴於密碼，但密碼經常會被在線泄露或設置不當。

「密碼必須包括大小寫字母，且至少含有一個數字。」當你開設賬戶或更改密碼時，網站或軟體就會發出類似的提示信息。但新的研究表明，這種密碼設置是具有誤導性的。

一項針對先進密碼破譯技術的研究發現，設置包含數字和大寫字母在內的密碼並不會大幅提升密碼的安全性，而增加密碼長度或設置包含符號的密碼則更為有效。

「現在的攻擊手法更為高明，但最實用的應對措施卻顯得有些落後。」賽門鐵克研究實驗室（Symantec Research Labs）的研究人員馬泰奧·德拉米克（Matteo Dell』Amico）說。他與法國研究機構——歐洲電信學院（Eurecom）的毛里齊奧·菲利波內（Maurizio Filippone）合作開展了這項研究，並在計算機協會（ACM）10月舉行的計算機和通信安全會議上提交了他們的研究論文。

德拉米克表示，推薦設置包含字母、符號和數字的密碼是出於這樣一種考慮，即它可以減少對各種字元組合進行系統性測試的軟體的破譯幾率。同樣，密碼強度指示也是基於這種考慮給出「密碼強度」反饋的。

但最新的密碼破譯軟體並不僅僅拘泥於隨機猜測。相反，它們被訓練利用已泄漏的數以百萬計的密碼清單進行猜測，對最常用的密碼或密碼樣式進行測試。密碼破譯軟體可以用來獲取在線泄露的非正常加密密碼，比如2013年奧多比公司（Adobe）外泄的1.3億個賬戶密碼，或者直接訪問未限制破譯功能的密碼安全軟體或設備。

有基於此，德拉米克和菲利波內提出了一種測試密碼強度的新方法。他們訓練攻擊軟體，利用它們生成密碼清單，然後再通過他們的方式，利用這些清單給任一給定密碼打分，即密碼的「破譯」分數。他們利用1000萬個泄露密碼訓練多種攻擊軟體，並通過另外3200萬個密碼對他們的破譯方法進行了測試。

結果顯示，增加密碼長度或在密碼中加入符號比在密碼中加入大寫字母或數字更為有效。德拉米克說，這是因為，在設置密碼時，人們傾向於在開頭使用大學字母，在結尾使用數字，而密碼攻擊方法剛好可以利用這一點。「最重要的是，你要設置一個難以猜測的密碼。」這種新方法可以用來創造更準確的方式，讓人們了解所設置密碼的強度，德拉米克表示。

安全研究人員馬克·伯內特（Mark Burnett）說，有一個能做到這一點的好方法很重要，但事實證明很難。該項研究使用了他早前發布的一個密碼研究資料庫。

「我沒有見過哪種方法是完美的，但這可能是最好的嘗試。」他說，「這類研究有助於我們更好地設置強密碼，有助於我們更好地給出建議，也有助於我們更好看清未來趨勢。」

伯內特建議說，下次當你選擇或更改密碼時，你應該設一個更長一點的，也可以在裡面加入一兩個單詞。對於計算行業，他的建議是它應該提供一個可以廣泛使用的密碼替代方案。

「密碼設置越來越長，我們即將走到密碼失去效用的臨界點。」他說。