据福布斯报道，美国国家标准与技术研究院 （NIST） 认为使用复杂密码和不同类型字符的组合和定期更改密码是一种无效的做法。黑客很容易破解此类密码。NIST 发布了面向用户和企业的新指南，作为关于数字身份的第二个 NIST 公共文档 SP 800-63-4 的一部分。

图片来源： Copilot

多年来，人们认为密码应该尽可能复杂，包括大写和小写字母、数字和特殊字符。据推测，在特殊程序的帮助下，此类密码将更难猜测或破解。然而，随着时间的推移，专家们得出结论，密码复杂性过高会导致相反的效果。

根据新指南，NIST 不再坚持对密码复杂性的严格规定，而是建议将密码设置得更长。这有几个原因。首先，研究表明，用户很难记住复杂的密码，这通常会导致他们在不同的网站上使用相同的密码，或者想出太简单而无法满足最低要求的字符组合。例如，像 “P@ssw0rd123” 这样的密码，它在技术上满足复杂的条件，但很容易猜到。

其次，以前许多组织都要求每 60-90 天更改一次密码，这也不再推荐。这个要求经常使事情变得更糟，因为它导致由于需要经常更改密码而创建强度较低的密码。NIST 建议放弃使用复杂密码，转而使用长而简单的密码，并解释了原因。

密码强度通常通过熵的概念来衡量，即不可预测的字符组合的数量。熵越高，攻击者越难使用暴力破解密码。虽然密码复杂性会增加熵，但已发现每个基本质数字符的密码长度起着更重要的作用。

NIST 建议使用易于记忆的长密码，例如几个简单单词的短语。例如，短语“bigdogsmallratfastcatpurplehatjellobat”形式的密码对于精通英语的用户来说既安全又方便。这样的密码结合了高熵和易用性，有助于避免不安全的习惯，例如写下密码或重复使用密码。

尽管现代技术使破解短而复杂的密码变得更加容易，但由于可能的组合数量众多，即使是最先进的算法在尝试破解长密码时也仍然面临困难。最近的一个例子是纽约市市长 Eric Adams 的密码更改。他在个人智能手机上用六位数的代码替换了自己的四位数代码，然后将其移交给执法部门。此更改将匹配符号的可能组合数量从 10,000 个增加到 100 万个。

迄今为止，NIST 建议公司允许用户创建最长 64 个字符的密码。这么长的密码，即使只由小写字母和熟悉的单词组成，也极难破解。如果你给它加上大写字母和符号，破解这样的密码几乎是不可能的。因此，在新建议中，NIST 强调密码的长度是其安全性的主要因素。