(MERXWIRE編譯/美國華盛頓特區)你一定遇過設定網站密碼時,要求要有大寫、小寫、數字、符號,還不能跟舊密碼太像。結果最後不是寫在備忘錄,就是把同一套密碼改個年份再上場。看起來很符合規則,實際上卻更容易被猜中,因為那些替換技巧早就被攻擊工具算進去了。
密碼不一定越複雜越安全,近年資安趨勢更建議走向長度優先,改用三個有意義且不常見的單字,組成更長密碼片語,既好記也更難被猜中。
近年國際資安觀念正在轉向。與其逼使用者設定花俏難記密碼,權威機構開始強調更務實觀念:「密碼越長越好,且要讓人記得住。」 英國國家網路安全中心 (NCSC) 近年大力推廣「三個隨機單字」組合法,核心邏輯是長度能大幅增加駭客猜測成本,且隨機組合遠比刻意替換字符(如將A改成@)更難被破解。
密碼的麻煩不只在於難記,更在於「共用」。根據最新資料外洩調查,被盜用帳密仍是入侵事件主因之一。更驚人數據顯示,在遭到惡意程式影響樣本中,一個人在不同服務間密碼只有49%是彼此不同,代表大量帳號其實共享相似或相同密碼,一旦外洩就可能被撞庫連鎖打開。
這股轉變也出現在權威指南裡。美國國家標準與技術研究院(NIST)在最新數位身分驗證指引中明確指出,不必再硬性要求密碼包含大小寫或特殊符號。,因為這類規則反而會讓使用者陷入「可預測的模式」,對整體安全性未必有幫助,甚至可能適得其反。
當「長度比複雜重要」成為共識,下一步就是乾脆少用密碼,甚至不用密碼。微軟安全團隊觀察到,2024年平均每秒觀測到7,000 次密碼攻擊,駭客專挑仍需手動輸入密碼的帳號下手。
因此,「通行金鑰 (Passkeys)」 等免密碼登入方式正加速普及。現在包含 Google、微軟及各大電商平台都已支援。使用者不必再背誦長串字元,只需透過手機的指紋、臉部掃描或電腦解鎖,就能快速完成身分驗證。
資安專家指出,密碼短時間內不會消失,但會逐漸演變為「你記得住的一句話」,並退居備援角色。未來的登入體驗將更省心,也更能有效避開釣魚與撞庫外洩的陷阱。