密碼又要符號又要大寫的 規(guī)則到底是誰發(fā)明的？（俠客密碼查看器）

    大家是不是都有這樣的經(jīng)驗呢？當你要設定新密碼的時候，出現(xiàn)了這樣的一行提示：密碼長度不得低于 8 位數(shù)、必須同時包含大小寫英文、數(shù)字、符號，且相同字符不得重復超過 3 次、英文或數(shù)字間不得連續(xù)……

相信大家都對這逆天的密碼規(guī)則耿耿于懷，因為好像沒加網(wǎng)站的注冊規(guī)則并不統(tǒng)一！有的復雜，有的簡單！這密碼防的不是別人，防的是自己好不好！自己忘記密碼的次數(shù)，遠遠遠遠要大于被別人偷盜的可能吧。

那你知道這種“反人類”的規(guī)則是誰發(fā)創(chuàng)造的嗎？一切都始于近 15 年前，一名叫 Bill Burr 的美國國家教準技術(shù)研究所（NIST， National Institute of Standards and Technology）主管。Bill Burr 2013 年草擬了一份 8 頁的指南，教大家怎么建立安全的密碼，這份文件就叫做「NIST 特別刊物 800-63. 附錄A」。里面建議大家設定密碼要用奇怪而無意義的字加上罕見的字符、大寫英文和數(shù)字，并且時常更換密碼。

我們后來常看到的大小寫、英數(shù)字規(guī)范，或多或少就是源自于這份文件，當時 Burr 的專業(yè)并非資安，而他現(xiàn)在已經(jīng) 72 歲，也從研究所退休了。

隨便說兩句：現(xiàn)在有很多網(wǎng)站尤其是論壇，為了所謂的安全性考慮，用戶注冊時通常會要求設置安全問題，以我自己的經(jīng)驗來看，那幾乎是毫無作用的，這些安全問題通常會讓你從8個左右的問題選擇一個進行回答，很多人為了簡單易記，通常會選擇生日，這本來是沒有什么問題的，問題在于電腦是沒有智能的，它沒有所謂的時間概念。

相反，卻有嚴格的格式概念，例如：某人生日是1980年1月1日，對于人來說，當某人問起你生日的時候，無論你是回答1980年1月1日，還是80年元旦，亦或是800101，都是一個概念，這個概念指向同一個目標，這個目標就是時間。然而對電腦來說，這幾個卻是完全不同的概念，對于電腦來說19800101與8011有著極大的差別，因而，有可能一些不同網(wǎng)站問你的是同一個問題，但是你在回答的時候卻使用了不同的格式，這樣注冊多了，最后很可能連你自己都搞混了，有時候甚至會導致你自己連密碼都修改不了。

所以，我的習慣是除非網(wǎng)站指定安全問題為必填，否則我一律不填，如果填的話，我會隨便選擇一個問題，并且任何網(wǎng)站的任何安全問題，我都使用同一個標準格式，以前我使用的是“關(guān)你鳥事啊”，電腦問我你小學上那所學校��？你愛人叫什么名字？我都一律回答“關(guān)你鳥事啊”——本來我怎樣就不關(guān)你電腦的事，還不是“關(guān)你鳥事”嗎？！