數十年來，消費者和企業員工經常被灌輸一些“強密碼規則”，例如定期更換密碼，在密碼中使用特殊字符等。雖然近年來此類密碼規則的有效性遭到安全專家的廣泛質疑，但是新一代密碼規則（例如用長度換強度、非必要不更新等）由于企業界的強大慣性和阻力（例如大多數互聯網服務和企業系統都不支持64位長密碼）而難以普及推廣。

近日，美國國家標準與技術研究院（NIST）發布了最新的數字身份指南草案（SP800-63-4第二版），徹底顛覆了人們對密碼安全的認知。指南提議取消一些最流行的，同時也是“最荒謬”的常識性做法，例如：

• 強制用戶定期更改密碼
• 強制或限制用特定字符
• 強制要求混合多種類型字符
• 使用安全問題作為驗證手段

破除密碼安全的陳規陋習

在數字時代，密碼是保護用戶隱私和數據安全的關鍵要素。然而，NIST指出，許多傳統密碼管理規則不僅沒有增強安全性，反而適得其反。最典型的例子是強制用戶定期更改密碼的要求。

幾十年前，密碼安全性認知尚未普及，人們往往選擇容易被破解的常見詞匯或簡單字符組合，因此定期更改密碼被認為是防止被盜用的一種策略。但是，隨著密碼管理技術的進步和隨機生成密碼的普及，強制更改密碼的做法不僅增加了用戶的負擔，還可能導致密碼復雜性下降。

NIST給驗證服務和管理者的“顛覆性”密碼建議如下：

• 密碼長度至少為8個字符，建議不少于15個字符。
• 應允許最大密碼長度至少為64個字符。
• 應該接受所有打印ASCII（RFC20）字符，或在密碼中添加空格字符。
• 應接受密碼中的Unicode（ISO/ISC 10646）字符。評估密碼長度時，每個Unicode代碼點應計為一個字符。
• 不得對密碼施加其他組合要求（例如，要求混合不同類型的字符）。
• 不得要求用戶定期更改密碼，除非有證據表明賬戶被盜用。
• 不得允許訂閱者存儲未經身份驗證的用戶可訪問的提示。
• 不得提示訂閱者在選擇密碼時使用基于知識的身份驗證(KBA)（例如“您的第一只寵物的名字是什么？”）或安全問題。
• 驗證者應當完整驗證所提交的密碼（即，不要截斷它）。

特殊字符與安全問題是一對“臥龍鳳雛”

NIST還質疑另一項廣受詬病的規則——要求密碼必須包含大小寫字母、數字和特殊字符。NIST認為，在密碼足夠長且復雜的情況下，這類字符組合規則并沒有實質上的安全提升作用，反而會導致用戶選擇更容易記憶且相對脆弱的密碼。

許多用戶為了滿足這些復雜的規則，往往傾向于使用重復的字符或常見組合，如“Password123!”之類的“偽強密碼”。

同樣，NIST建議廢除使用安全問題（如“你的第一只寵物叫什么？”）作為密碼驗證手段。研究表明，安全問題容易被破解或通過社交工程攻擊獲取答案，難以真正保障用戶隱私（有時反而會導致隱私泄漏）。

用長度換取強度

NIST在新指南中建議，密碼驗證系統應接受至少64個字符長度的密碼，并支持所有ASCII字符和Unicode字符的使用。這意味著用戶不僅可以設置更長的密碼（例如：wo xihuan chi gobelieve baozi），還可以使用更廣泛的字符集，進一步增強密碼的復雜性與安全性。

同時，NIST強調，密碼驗證應當檢查用戶輸入的完整密碼，而非截斷處理，確保密碼的每一個字符都被考慮在內。

密碼安全新趨勢：回歸常識與用戶體驗

NIST的最新指南草案不僅在技術層面上進行了優化，更重要的是，它體現了密碼安全領域的一種回歸——回歸常識、回歸用戶體驗。正如NIST在聲明中指出的，許多密碼管理規則之所以存在，是因為早期網絡安全認知不足，然而，隨著技術的進步和攻擊手段的復雜化，許多看似“安全”的做法其實已經不再適用，甚至成為了安全隱患的源頭。

以密碼長度為例，NIST建議的8-15字符的最低密碼長度既確保了密碼的基本安全性，又避免了過度復雜的字符組合規則，讓用戶可以在增強安全性的同時減少記憶負擔。這一理念與近年來密碼管理軟件（如密碼管理器）和生物識別技術的普及相呼應，進一步提升了整體用戶體驗。

未來展望：安全管理需要以人為本

盡管近年來不少專家一再批評現行密碼規則的弊端，但銀行、互聯網平臺和政府機構大多依然固守這些過時、無效甚至有害的規則。NIST（美國國家標準與技術研究院）發布的新指南草案盡管并不具備強制性，但被業界廣泛看作是終結“無效”密碼規則的一個標志性歷史事件，也是全球密碼安全標準演進的重要一環，有望在更廣泛的領域內被采納和應用，帶動密碼安全領域的深層變革。

未來，隨著量子計算等新技術的發展，密碼學的基礎原理也可能發生變革。目前來看，這一提議對于密碼管理和用戶安全的提升是顯而易見的，但其最終效果仍有待觀察和驗證。

“人的因素”是網絡安全最重要的環節，NIST密碼新規的提出代表了一個重要的網絡安全趨勢——有效的安全管理需要更多地依賴技術創新和用戶友好的安全設計，而不是機械地強制用戶遵循陳規陋習。