【密碼難記為什麼是使用者的錯】
最近靠北工程師上有篇爆紅的討論「 如何教主管記住帳號密碼」:
https://goo.gl/rkUgPU
雖然很好笑lol 但反過來想,「密碼長度」與「使用者體驗」(考慮到易用性 Usability)本來就是個詭異的矛盾。
很多網站和APP在註冊時蠻常要求一堆莫名其妙的密碼規則:要包含數字、大小寫英文字母、特殊符號 !=?\/、至少8個字元...
不但帶來差勁的使用者體驗,對時常要登入系統的開發人員也很麻煩。猶記得 Mark Zuckerberg被駭客入侵時的密碼:dadada (呵呵)
\\
「xkcd」這則漫畫中提到了一個有趣的點:
將密碼命名成「correct horse battery staple」
事實上還比「tr0ub4dor&3」的安全性更高。(他媽這種誰記得起來啊)
前者是「人類好記、電腦難攻破」,而後者是「人類難記、電腦好攻破」
「Password Rules Are Bullshit」這篇文章中又進一步補充:或取成「✅🐎🔋🖇️」、「正确马电池订书钉」也ok,太多人都誤會了「人類難記=電腦難攻破」的這件事。
\\
有鑒於80%的常見密碼(password, 1234, 1q2w3e...)字元數都小於10,只要字元長度大於10,就有蠻基本的保護作用。
比如說取:「4ck I forget my password!」:不就滿足了數字、大小寫英文字母、特殊符號 !=?\/、至少8個字元... 嗎?又好記。
\\
密碼這件事能帶給我們兩個啟發:
【1. 防止員工低級錯誤對公司超重要】
許多公司缺乏對員工的基本資安教育,一旦員工賬號被盜,駭客有可能直接刪了伺服器上的所有資料、重設公司裡所有的帳號密碼... 小公司可能就這樣掰惹。
【2. 若能有人成功解決「使用者體驗」和「安全性」的衝突,絕對會是一門好生意】
Okta公司提供了服務:只要登入一個帳號,就能一口氣Visit所有互相認證的雲端服務。工程師不用每天上班都得輸入十幾次帳號密碼。
Okta現在員工超過800位,估值$12億;並已在昨日(3/14)提交了上市申請。
\\
傳送門:
👉 Password Rules Are Bullshit:https://goo.gl/x9Nhwn
👉 Zuckerberg的dadada密碼:https://goo.gl/u6voIs
👉 Okta官網:https://www.okta.com/
👉 Okta上市:https://goo.gl/ssR7KZ
Search