什麼是高強度密碼？[密碼安全原則說明]

常見的密碼複雜度最小需求：

密碼不能空白或沒有設定、不能與帳戶名稱完全相同、不能用預設密碼。
密碼最小長度8碼。
密碼必需包含下列4種字元中的3種：
- 英文大寫字元(A到Z)
- 英文小寫字元(a到z)
- 10進位數字(0到9)
- 特殊符號(例如：!、$、#、%)
密碼至少每 90 天更換一次。

這種密碼設定方式開始流行，起因於 2003 年美國國家標準技術研究所（NIST）所制定的一份文件附錄，有趣的是，撰寫該安全密碼最佳實踐原則的作者Bill Burr接受華爾街日報訪問時卻直言當初所制定的方式並不十分洽當，並為此造成使用者的不便感到抱歉（＂Much of what I did I now regret.＂）。他並不是在鼓勵使用容易被破解的密碼，而是因為當初撰寫時沒有考量到人類的惰性問題，太複雜的密碼組成要求不僅徒增困擾且可能還有反效果。
--陳彥銘（2017）。密碼安全性原則，困擾的是駭客還是自己？。法務部調查局清流月刊106年11月號

密碼複雜性的目的是在增加密碼強度，讓駭客不容易預測，但過度複雜或制式化的複雜性規則，反而產生反效果。弔詭的是，這個問題明明大家都知道，實務作業也發現問題，但卻都選擇默默接受，為什麼呢？或許是因為沒有更好的密碼最佳實務建議，所以只好按照原本的規則設定，這種消極的因應作法與心態，也提供了駭客入侵的機會。
--邱述琛（2017）。密碼規則的盲點與未來可能發展。中央社。

現代密碼要求超過一定長度的數字及字母、有的要求大小寫、還要90天更新，令使用者困擾不已。現在，發明這項密碼規則的人對此感到抱歉。而今年NIST也更新了密碼的要求。
--林妍溱（2017）。以長密詞取代密碼、不應設定密碼變更期間或次數上限。iThome電子報。

密碼的長度比複雜度更重要。（2020,NIST）

美國國家標準暨技術研究院（National Institute of Standards and Technology，簡寫為NIST）認為，密碼的長度遠比複雜度更重要。基於 NIST 的理論，美國波特蘭(Portland)地區的 FBI 日前特地發文，建議企業 IT 人員以及一般網友，都應該選用長度更長的密詞(passphrase)來取代短而複雜的密碼組合(password)。
--黃慧雯（2020）。防駭靠這招 FBI建議別用複雜密碼要用15字密詞。中時新聞網。

FBI的資安技術專家表示，密碼破解難易度是受長度與複雜性影響，而長度又比複雜性的難度更高，不管是智慧門鎖、電腦登入密碼、信用卡密碼、網銀密碼……等等，都是相同的道理，因此與其選擇不相干的亂數組成密碼，不如選擇幾個單字組成一組超長的密碼，這樣不僅難以破解，民眾較不容易忘記密碼。
--林欣穎（2020）。FBI親授密碼這樣設最安全。匯流新聞網。

NIST 新的密碼指引節錄：（連結）

密碼愈長愈好。密碼長度建議可讓使用者最多輸入64碼。
- 不強制使用者加入大、小寫字母或特殊字元。
- 不要求使用者定期變更密碼，除非密碼已知被竊取。
- 不要用「安全問題」提示的方式幫助使用者回想密碼。
針對已知的弱密碼（如常用字詞、被洩漏過的密碼）應由系統建立黑名單禁用。
禁止用明碼方式儲存密碼。

資訊安全宣導─密碼安全原則簡報

參考資料

密碼到底該怎麼設才安全？別再用你的生日啦！(中小學資訊素養與認知網)
https://eteacher.edu.tw/(S(kp5ph4th1u3wmdjpd5qgrl5l))/Tip.aspx?id=4208
密碼安全性原則，困擾的是駭客還是自己？(法務部調查局清流月刊106年11月號)
https://www.nasc.gov.tw/News_Content.aspx?n=207&s=142812
15 年前發明煩死人的密碼規則，Bill Burr：抱歉浪費大家時間 (Inside報導)
https://www.inside.com.tw/article/10162-the-guy-who-invented-those-annoying-password-rules-now-regrets-wasting-your-time
密碼規則發明人道歉：放錯重點 (台灣電腦網路危機處理暨協調中心TWCERT電子報)
https://www.twcert.org.tw/newepaper/cp-65-670-1071e-3.html
NIST Password Guidelines: 9 Rules to Follow [Updated in 2024]
https://www.itsasap.com/blog/nist-password-guidelines
NIST Special Publication 800-63. Appendix A (NIST,2023)
https://pages.nist.gov/800-63-3/sp800-63a.html
FBI親授密碼這樣設最安全…全球最爛密碼一併大公開！(匯流新聞網)
https://tw.news.yahoo.com/fbi%E8%A6%AA%E6%8E%88%E5%AF%86%E7%A2%BC%E9%80%99%E6%A8%A3%E8%A8%AD%E6%9C%80%E5%AE%89%E5%85%A8-%E5%85%A8%E7%90%83%E6%9C%80%E7%88%9B%E5%AF%86%E7%A2%BC-%E4%BD%B5%E5%A4%A7%E5%85%AC%E9%96%8B-024109757.html
FBI：以長密詞取代密碼、不應設定密碼變更期間或次數上限(iThome新聞)
https://www.ithome.com.tw/news/135993
FBI：密碼不需複雜只需長，建議改用 15 位以上密詞(Unwire HK)
https://infosecu.technews.tw/2020/03/04/building-a-digital-defense-with-passwords/
FBI Tech Tuesday: Strong Passphrases and Account Protection(FBI)
https://www.fbi.gov/contact-us/field-offices/phoenix/news/press-releases/fbi-tech-tuesday-strong-passphrases-and-account-protection
Oregon FBI Tech Tuesday: Building a Digital Defense with Passwords(FBI)
https://www.fbi.gov/contact-us/field-offices/portland/news/press-releases/oregon-fbi-tech-tuesday-building-a-digital-defense-with-passwords
設定高強度密碼並強化帳戶安全性(Google)
https://support.google.com/accounts/answer/32040?hl=zh-Hant
什麼是密碼保護？(Microsoft)
https://www.microsoft.com/zh-tw/security/business/security-101/what-is-password-protection
密碼管理：90天或定期更換密碼真的安全嗎？(資安科普)
https://simular.co/blog/post/78-%E5%AE%9A%E6%9C%9F%E6%9B%B4%E6%8F%9B%E5%AF%86%E7%A2%BC%E5%AE%89%E5%85%A8%E5%97%8E
IT公司揭8數字密碼37秒破解 16數字需逾119年專家：密碼愈長愈安全(明報)
https://news.mingpao.com/ins/%E7%86%B1%E9%BB%9E/article/20240513/s00024/1715578344701/it%E5%85%AC%E5%8F%B8%E6%8F%AD8%E6%95%B8%E5%AD%97%E5%AF%86%E7%A2%BC37%E7%A7%92%E7%A0%B4%E8%A7%A3-16%E6%95%B8%E5%AD%97%E9%9C%80%E9%80%BE119%E5%B9%B4-%E5%B0%88%E5%AE%B6-%E5%AF%86%E7%A2%BC%E6%84%88%E9%95%B7%E6%84%88%E5%AE%89%E5%85%A8
8字元密碼可在37秒內遭破解專家建議愈長愈安全(中央社)
https://www.cna.com.tw/news/ait/202405130045.aspx
密碼規則的盲點與未來可能發展(邱述琛-資安人觀點)
https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=8549
怎樣的密碼強度才能確保帳號的安全？(NordVPN)
https://nordvpn.com/zh-tw/blog/mima-anquanxing/