數(shù)十年來(lái)，消費(fèi)者和企業(yè)員工經(jīng)常被灌輸一些“強(qiáng)密碼規(guī)則”，例如定期更換密碼，在密碼中使用特殊字符等。雖然近年來(lái)此類密碼規(guī)則的有效性遭到安全專家的廣泛質(zhì)疑，但是新一代密碼規(guī)則（例如用長(zhǎng)度換強(qiáng)度、非必要不更新等）由于企業(yè)界的強(qiáng)大慣性和阻力（例如大多數(shù)互聯(lián)網(wǎng)服務(wù)和企業(yè)系統(tǒng)都不支持64位長(zhǎng)密碼）而難以普及推廣。

近日，美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）發(fā)布了最新的數(shù)字身份指南草案（SP800-63-4第二版），徹底顛覆了人們對(duì)密碼安全的認(rèn)知。指南提議取消一些最流行的，同時(shí)也是“最荒謬”的常識(shí)性做法，例如：

• 強(qiáng)制用戶定期更改密碼
• 強(qiáng)制或限制用特定字符
• 強(qiáng)制要求混合多種類型字符
• 使用安全問(wèn)題作為驗(yàn)證手段

破除密碼安全的陳規(guī)陋習(xí)

在數(shù)字時(shí)代，密碼是保護(hù)用戶隱私和數(shù)據(jù)安全的關(guān)鍵要素。然而，NIST指出，許多傳統(tǒng)密碼管理規(guī)則不僅沒(méi)有增強(qiáng)安全性，反而適得其反。最典型的例子是強(qiáng)制用戶定期更改密碼的要求。

幾十年前，密碼安全性認(rèn)知尚未普及，人們往往選擇容易被破解的常見詞匯或簡(jiǎn)單字符組合，因此定期更改密碼被認(rèn)為是防止被盜用的一種策略。但是，隨著密碼管理技術(shù)的進(jìn)步和隨機(jī)生成密碼的普及，強(qiáng)制更改密碼的做法不僅增加了用戶的負(fù)擔(dān)，還可能導(dǎo)致密碼復(fù)雜性下降。

NIST給驗(yàn)證服務(wù)和管理者的“顛覆性”密碼建議如下：

• 密碼長(zhǎng)度至少為8個(gè)字符，建議不少于15個(gè)字符。
• 應(yīng)允許最大密碼長(zhǎng)度至少為64個(gè)字符。
• 應(yīng)該接受所有打印ASCII（RFC20）字符，或在密碼中添加空格字符。
• 應(yīng)接受密碼中的Unicode（ISO/ISC 10646）字符。評(píng)估密碼長(zhǎng)度時(shí)，每個(gè)Unicode代碼點(diǎn)應(yīng)計(jì)為一個(gè)字符。
• 不得對(duì)密碼施加其他組合要求（例如，要求混合不同類型的字符）。
• 不得要求用戶定期更改密碼，除非有證據(jù)表明賬戶被盜用。
• 不得允許訂閱者存儲(chǔ)未經(jīng)身份驗(yàn)證的用戶可訪問(wèn)的提示。
• 不得提示訂閱者在選擇密碼時(shí)使用基于知識(shí)的身份驗(yàn)證(KBA)（例如“您的第一只寵物的名字是什么？”）或安全問(wèn)題。
• 驗(yàn)證者應(yīng)當(dāng)完整驗(yàn)證所提交的密碼（即，不要截?cái)嗨?/li>

特殊字符與安全問(wèn)題是一對(duì)“臥龍鳳雛”

NIST還質(zhì)疑另一項(xiàng)廣受詬病的規(guī)則——要求密碼必須包含大小寫字母、數(shù)字和特殊字符。NIST認(rèn)為，在密碼足夠長(zhǎng)且復(fù)雜的情況下，這類字符組合規(guī)則并沒(méi)有實(shí)質(zhì)上的安全提升作用，反而會(huì)導(dǎo)致用戶選擇更容易記憶且相對(duì)脆弱的密碼。

許多用戶為了滿足這些復(fù)雜的規(guī)則，往往傾向于使用重復(fù)的字符或常見組合，如“Password123!”之類的“偽強(qiáng)密碼”。

同樣，NIST建議廢除使用安全問(wèn)題（如“你的第一只寵物叫什么？”）作為密碼驗(yàn)證手段。研究表明，安全問(wèn)題容易被破解或通過(guò)社交工程攻擊獲取答案，難以真正保障用戶隱私（有時(shí)反而會(huì)導(dǎo)致隱私泄漏）。

用長(zhǎng)度換取強(qiáng)度

NIST在新指南中建議，密碼驗(yàn)證系統(tǒng)應(yīng)接受至少64個(gè)字符長(zhǎng)度的密碼，并支持所有ASCII字符和Unicode字符的使用。這意味著用戶不僅可以設(shè)置更長(zhǎng)的密碼（例如：wo xihuan chi gobelieve baozi），還可以使用更廣泛的字符集，進(jìn)一步增強(qiáng)密碼的復(fù)雜性與安全性。

同時(shí)，NIST強(qiáng)調(diào)，密碼驗(yàn)證應(yīng)當(dāng)檢查用戶輸入的完整密碼，而非截?cái)嗵幚?，確保密碼的每一個(gè)字符都被考慮在內(nèi)。

密碼安全新趨勢(shì)：回歸常識(shí)與用戶體驗(yàn)

NIST的最新指南草案不僅在技術(shù)層面上進(jìn)行了優(yōu)化，更重要的是，它體現(xiàn)了密碼安全領(lǐng)域的一種回歸——回歸常識(shí)、回歸用戶體驗(yàn)。正如NIST在聲明中指出的，許多密碼管理規(guī)則之所以存在，是因?yàn)樵缙诰W(wǎng)絡(luò)安全認(rèn)知不足，然而，隨著技術(shù)的進(jìn)步和攻擊手段的復(fù)雜化，許多看似“安全”的做法其實(shí)已經(jīng)不再適用，甚至成為了安全隱患的源頭。

以密碼長(zhǎng)度為例，NIST建議的8-15字符的最低密碼長(zhǎng)度既確保了密碼的基本安全性，又避免了過(guò)度復(fù)雜的字符組合規(guī)則，讓用戶可以在增強(qiáng)安全性的同時(shí)減少記憶負(fù)擔(dān)。這一理念與近年來(lái)密碼管理軟件（如密碼管理器）和生物識(shí)別技術(shù)的普及相呼應(yīng)，進(jìn)一步提升了整體用戶體驗(yàn)。

未來(lái)展望：安全管理需要以人為本

盡管近年來(lái)不少專家一再批評(píng)現(xiàn)行密碼規(guī)則的弊端，但銀行、互聯(lián)網(wǎng)平臺(tái)和政府機(jī)構(gòu)大多依然固守這些過(guò)時(shí)、無(wú)效甚至有害的規(guī)則。NIST（美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院）發(fā)布的新指南草案盡管并不具備強(qiáng)制性，但被業(yè)界廣泛看作是終結(jié)“無(wú)效”密碼規(guī)則的一個(gè)標(biāo)志性歷史事件，也是全球密碼安全標(biāo)準(zhǔn)演進(jìn)的重要一環(huán)，有望在更廣泛的領(lǐng)域內(nèi)被采納和應(yīng)用，帶動(dòng)密碼安全領(lǐng)域的深層變革。

未來(lái)，隨著量子計(jì)算等新技術(shù)的發(fā)展，密碼學(xué)的基礎(chǔ)原理也可能發(fā)生變革。目前來(lái)看，這一提議對(duì)于密碼管理和用戶安全的提升是顯而易見的，但其最終效果仍有待觀察和驗(yàn)證。

“人的因素”是網(wǎng)絡(luò)安全最重要的環(huán)節(jié)，NIST密碼新規(guī)的提出代表了一個(gè)重要的網(wǎng)絡(luò)安全趨勢(shì)——有效的安全管理需要更多地依賴技術(shù)創(chuàng)新和用戶友好的安全設(shè)計(jì)，而不是機(jī)械地強(qiáng)制用戶遵循陳規(guī)陋習(xí)。