為何NCSC推薦使用三個隨機單詞組成的密碼

常見的密碼設定原則多會強調「複雜性」(complexity),但因為人類的大腦很難記住隨機字串,因此常會使用可預測的模式(例如用數字0來取代英文字母O),以符合密碼所需的複雜性,相對的,攻擊者也會熟悉這些策略,並據此優化攻擊手法。

英國網路安全中心(National Cyber Security Centre,NCSC)近期在一篇部落格文章中,向民眾介紹他們推薦使用三個隨機單詞組合而成密碼的邏輯。傳統的複雜密碼或許難以記住,但犯罪分子卻有可能猜中;相反的,由隨機單詞組成的密碼不僅容易記憶,也具備足夠強度的保護力,其他原因還包括:

  • 長度(Length):由多個單詞組成的密碼,理論上字元數會比獨立的單詞更長。「長度」是密碼的常見要求,透過使用組合單詞所創造出的「密碼單詞」(passphrase),便是實現這項要求的方法之一。
  • 影響(Impact):為了提高宣導的成效,NCSC必須採用快速且易於理解的方式,透過不同的媒體向民眾進行推廣。「三個隨機單詞」這句話淺顯易懂,即使民眾並非電腦專家,也很容易理解其推廣內涵。
  • 新奇(Novelty):傳統的密碼多為獨立單詞,較容易被犯罪分子猜中,透過「三個隨機單詞」的密碼設定邏輯,可以鼓勵民眾思考過去不曾使用過的密碼組合。
  • 可用性(Usability):一般若要符合密碼複雜性,最大的問題是使用者必須花費較多心力去設定、記憶及輸入複雜的密碼,容易造成使用者重複使用密碼;相較之下,要求使用者輸入3個隨機單詞組成的密碼,則相對容易許多。

為了提高密碼被破解的難度,NCSC認為使用者必須增加密碼的多樣性(diversity),降低可被廉價且高效的搜尋演算法破解的密碼數量,而「三個隨機單詞」的密碼設定策略,將可有效鼓勵使用者設計出未曾使用過的密碼,增加密碼的多樣性。

相關連結:

Kate R (2021). The logic behind three random words. NCSC.

檢自:

https://www.ncsc.gov.uk/blog-post/the-logic-behind-three-random-words (Aug. 13, 2021)

Scroll to Top