FBI 在早前發文建議用戶最好改用 15 字元以上的密詞(passphrase)取代複雜的密碼(passward),並指網站不應因用戶輸入數次錯誤密碼就鎖定帳戶。
現時許多網站都業開始要求用戶設定複雜的密碼,像是強制要求具備大、小寫英文字母、數字及特殊符號等,但美國標準與科技研究院(NIST)則認為,密碼的長度比複雜度更為重要。
波特蘭 FBI 依據 NIST 的理論,建議企業 IT 人員或一般用戶,與其使用複雜的短密碼(password),應該改用更長的密詞(passphrase)。密詞最好由幾個字詞組成,長度最少 15 個字元,但不需要有大、小寫或特殊符號。他們指,超長密詞不但比密碼方便記憶,而且能增加破解難度。例如 VoicesProtected2020WeAre 就是夠強的密詞,若能加入數個不相干的字更好,如 DirectorMonthLearnTruck。
FBI 建議,應只在網路遭駭時,才要求用戶變更密碼,而不應再實施帳戶密碼輸入幾次就鎖定的政策,否則駭客可能故意發動機器人攻擊,反讓用戶被鎖住而無法使用電子郵件等帳號。
資料來源:FBI