跳到主要內容區

新北市立淡水國民中學
新北市立淡水國民中學
形象橫幅左半部 形象橫幅左半部 形象橫幅右半部 形象橫幅右半部
:::
分類選單
:::
  1. 首頁
  2. [資通安全專區]📂

什麼是高強度密碼?[密碼安全原則說明]

發佈日期 : 2024-07-15 發佈者 : 資訊組長

過去的思維:強調複雜度

傳統的密碼設定規則:(2003, NIST)/ 已不推薦

  1. 密碼不能空白或沒有設定、不能與帳戶名稱完全相同、不能用預設密碼。
  2. 密碼最小長度8碼。
  3. 密碼必須包含下列4種字元中的3種:
    • 英文大寫字元(A到Z)
    • 英文小寫字元(a到z)
    • 10進位數字(0到9)
    • 特殊符號(例如:!、$、#、%)
  4. 密碼至少每 90 天更換一次。

 

這種密碼設定方式開始流行,起因於 2003 年美國國家標準技術研究所(NIST)所制定的一份文件附錄,有趣的是,撰寫該安全密碼最佳實踐原則的作者Bill Burr接受華爾街日報訪問時卻直言當初所制定的方式並不十分洽當,並為此造成使用者的不便感到抱歉("Much of what I did I now regret.")。他並不是在鼓勵使用容易被破解的密碼,而是因為當初撰寫時沒有考量到人類的惰性問題,太複雜的密碼組成要求不僅徒增困擾且可能還有反效果。

--陳彥銘(2017)。 密碼安全性原則,困擾的是駭客還是自己?。法務部調查局清流月刊106年11月號

 

密碼複雜性的目的是在增加密碼強度,讓駭客不容易預測,但過度複雜或制式化的複雜性規則,反而產生反效果。弔詭的是,這個問題明明大家都知道,實務作業也發現問題,但卻都選擇默默接受,為什麼呢?或許是因為沒有更好的密碼最佳實務建議,所以只好按照原本的規則設定,這種消極的因應作法與心態,也提供了駭客入侵的機會。

--邱述琛(2017)。密碼規則的盲點與未來可能發展。中央社。

 

美國國家標準與技術研究院(NIST)在最新數位身分驗證指引中明確指出,不必再硬性要求密碼包含大小寫或特殊符號,因為這類規則反而會讓使用者陷入「可預測的模式」,對整體安全性未必有幫助,甚至可能適得其反。

--林佳雯 (2025)。別再逼自己記符號密碼!。MERXWIRE。

 

觀念的轉捩點:難記的密碼,困擾自己多過於防範駭客?

轉捩點1:「可預測性」的盲點

強制要求密碼包含大小寫、數字與特殊符號,往往會促使使用者採取大同小異的『捷徑』:例如把首字母大寫,並在結尾加上數字或驚嘆號(例如:Password123!)。這種可預測的行為模式,讓複雜度規則形同虛設,實際上只困擾了合法使用者,卻擋不住駭客的字典攻擊程式。

--科技報橘(2024)。好的密碼應該要「很複雜」還是「很長」?一份新密碼指南打破大眾認知

 

轉捩點2:使用者的「密碼疲勞」

當我們設定了極其嚴苛的密碼規則時,實際上是在引發使用者的『密碼疲勞』。人類的大腦無法記住多組無意義的亂碼,最終導致多數人選擇把密碼寫在便利貼上貼在螢幕旁,或者在所有網站重複使用同一組密碼,這反而製造了更大的資安破口。

--台灣電腦網路危機處理暨協調中心(TWCERT)(2017)。密碼規則發明人道歉:放錯重點

 

轉捩點3:「人類記憶力 vs 電腦算力」的不對等

Tr0ub4dor&3(一串難記的密碼,符合各種常見規則)有2的28次方種組合,每秒猜1000次,電腦只要約3天就能猜出來。「correcthorsebatterystaple」(4個隨機詞組成的密碼,沒有符合規則),有2的44次方種組合,每秒猜1000次大約需要550年。

--香港商業時報(2023)。密碼規則發明人道歉:我很後悔,對不起浪費大家的時間!

 

經過 20 年的努力,我們成功地訓練了所有人使用電腦容易猜到但人類難以記住的密碼。

--前NASA機器人專家 Randall Munroe(2011)。 《Password Strength》 (密碼強度)。網路漫畫 xkcd 第 936 幅作品。

 

註1:離線破解:駭客透過系統漏洞、資料庫外洩或中間人攻擊,竊取資料庫雜湊值清單,並於自有設備進行無限制的暴力比對。
註2:2025年頂級顯卡 (如 RTX 4090) 針對特定雜湊格式,運算速度可達每秒 1,000 億次以上。

進化的觀念:『夠長』比『夠亂』更難被破解

密碼的長度比複雜度更重要。(2018,NIST)

 

美國國家標準暨技術研究院(National Institute of Standards and Technology,簡寫為NIST)認為,密碼的長度遠比複雜度更重要。基於 NIST 的理論,美國波特蘭(Portland)地區的 FBI 日前特地發文,建議企業 IT 人員以及一般網友,都應該選用長度更長的密詞(passphrase)來取代短而複雜的密碼組合(password)。

--黃慧雯(2020)。防駭靠這招 FBI建議別用複雜密碼要用15字密詞。中時新聞網。

FBI建議密碼選用長度更長的密詞(passphrase)來取代短而複雜的密碼組合(password)

 

FBI的資安技術專家表示,密碼破解難易度是受長度與複雜性影響,而長度又比複雜性的難度更高,不管是智慧門鎖、電腦登入密碼、信用卡密碼、網銀密碼……等等,都是相同的道理,因此與其選擇不相干的亂數組成密碼,不如選擇幾個單字組成一組超長的密碼,這樣不僅難以破解,民眾較不容易忘記密碼。

--林欣穎(2020)。FBI親授密碼這樣設最安全。匯流新聞網。

 

將password更改為passphrase是提高網路安全的絕佳方法。 passphrase由 4 個或更多隨機單字組成,比標準的password更長。這使得它們易於記憶,但又難以被他人猜到。

--澳洲國家網路安全中心(ACSC)。Passphrases are the more secure version of passwords。澳洲訊號局(ASD)。

 

與其逼使用者設定花俏難記密碼,權威機構開始強調更務實觀念:「密碼越長越好,且要讓人記得住。」 英國國家網路安全中心 (NCSC) 近年大力推廣「三個隨機單字」組合法,核心邏輯是長度能大幅增加駭客猜測成本,且隨機組合遠比刻意替換字符(如將A改成@)更難被破解。

--林佳雯(2026)。別再逼自己記符號密碼!資安新共識:密碼長度比複雜更重要。MERXWIRE。

 

高強度密碼設定指引 (2025, NIST SP 800-63B)

  1. 密碼的長度比複雜度更重要:
    • 優先注重長度:建議用長度更長的密詞(passphrase)組合來取代短而複雜的密碼字元(password)。
    • 最大化相容性:系統應支援至少64字元,並允許使用空格、Emoji與所有Unicode字元
    • 廢除過時限制:是否加入大、小寫字母或特殊符號,由使用者自行決定,不強制要求。
  2. 友善且安全的規範:
    • 取消定期換密碼:不要強制使用者定期變更密碼,除非密碼已知被竊取。
    • 動態更新黑名單:針對已知的弱密碼(如常用字詞、洩漏過的密碼)由系統建立黑名單禁用。
    • 廢除安全提示:不要用「寵物名字、母親姓氏」等「問題提示」的方式幫助使用者回想密碼。
    • 密碼存儲防護:系統儲存密碼時應進行不可逆的雜湊處理,嚴禁以明碼儲存客戶密碼。

參考資料

  1. 中小學資訊素養與認知網。(無日期)。為什麼我要學密碼設定?。https://eliteracy.edu.tw/Archive.aspx?id=4189
  2. 中小學資訊素養與認知網。(2021)。密碼到底該怎麼設才安全?別再用你的生日啦!。https://eliteracy.edu.tw/Tip.aspx?id=4208
  3. 中央社。(2024)。8字元密碼可在37秒內遭破解 專家建議愈長愈安全。https://www.cna.com.tw/news/ait/202405130045.aspx
  4. 台灣電腦網路危機處理暨協調中心 (TWCERT)。(2017)。密碼規則發明人道歉:放錯重點。https://www.twcert.org.tw/newepaper/cp-65-670-1071e-3.html
  5. 地球圖輯隊。(2017)。「唉呀!你的密碼應該要有大寫英文和數字」密碼專家:拋棄這種規定吧。https://dq.yam.com/post/8037
  6. 邱述琛。(2017)。密碼規則的盲點與未來可能發展。資安人。https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=8549
  7. 法務部調查局。(2017)。密碼安全性原則,困擾的是駭客還是自己?。清流月刊。https://www.nasc.gov.tw/News_Content.aspx?n=207&s=142812
  8. 明報。(2024)。IT公司揭8數字密碼37秒破解 16數字需逾119年 專家:密碼愈長愈安全。https://news.mingpao.com/ins/%E7%86%B1%E9%BB%9E/article/20240513/s00024/1715578344701/it%E5%85%AC%E5%8F%B8%E6%8F%AD8%E6%95%B8%E5%AD%97%E5%AF%86%E7%A2%BC37%E7%A7%92%E7%A0%B4%E8%A7%A3-16%E6%95%B8%E5%AD%97%E9%9C%80%E9%80%BE119%E5%B9%B4-%E5%B0%88%E5%AE%B6-%E5%AF%86%E7%A2%BC%E6%84%88%E9%95%B7%E6%84%88%E5%AE%89%E5%85%A8
  9. 科技報橘。(2024)。好的密碼應該要「很複雜」還是「很長」?一份新密碼指南打破大眾認知。https://techorange.com/2024/10/14/complicated-passwords-make-you-less-safe-nist/
  10. 科技新報 (TechNews)。(2020)。FBI:密碼不需複雜只需長,建議改用 15 位以上密詞。https://infosecu.technews.tw/2020/03/04/building-a-digital-defense-with-passwords/
  11. 淡水分區輔導訪視資訊安全宣導。(2020)。密碼安全原則。http://www.tsjh.ntpc.edu.tw/var/file/0/1000/img/6/503139005.pdf
  12. 開放文化基金會。(無日期)。密碼強度。SSD 資安防護基礎教材。https://ssd.ocf.tw/chapter/profile/password.html
  13. 資安科普。(2023)。密碼管理:90天或定期更換密碼真的安全嗎?。https://simular.co/blog/post/78-%E5%AE%9A%E6%9C%9F%E6%9B%B4%E6%8F%9B%E5%AF%86%E7%A2%BC%E5%AE%89%E5%85%A8%E5%97%8E
  14. 匯流新聞網。(2020)。FBI親授密碼這樣設最安全 全球最爛密碼一併大公開!。https://tw.news.yahoo.com/fbi%E8%A6%AA%E6%8E%88%E5%AF%86%E7%A2%BC%E9%80%99%E6%A8%A3%E8%A8%AD%E6%9C%80%E5%AE%89%E5%85%A8-%E5%85%A8%E7%90%83%E6%9C%80%E7%88%9B%E5%AF%86%E7%A2%BC-%E4%BD%B5%E5%A4%A7%E5%85%AC%E9%96%8B-024109757.html
  15. 臺灣大學計算機及資訊網路中心。(2018)。也談資安:密碼迷思與出路。電子報第 46 期。https://www.cc.ntu.edu.tw/chinese/epaper/home/News_Content_n_103855_s_50446.html
  16. Australian Cyber Security Centre (ACSC)。(無日期)。Passphrases。https://www.cyber.gov.au/learn-basics/explore-basics/passphrases
  17. Cybersecurity and Infrastructure Security Agency (CISA)。(無日期)。Use Strong Passwords。https://www.cisa.gov/secure-our-world/use-strong-passwords
  18. Federal Bureau of Investigation (FBI)。(2020)。Oregon FBI Tech Tuesday: Building a Digital Defense with Passwords。https://www.fbi.gov/contact-us/field-offices/portland/news/press-releases/oregon-fbi-tech-tuesday-building-a-digital-defense-with-passwords
  19. Federal Bureau of Investigation (FBI)。(2021)。FBI Tech Tuesday: Strong Passphrases and Account Protection。https://www.fbi.gov/contact-us/field-offices/phoenix/news/press-releases/fbi-tech-tuesday-strong-passphrases-and-account-protection
  20. Google。(無日期a)。高強度密碼的設定方式。https://support.google.com/websearch/answer/15077462?hl=zh-Hant
  21. Google。(無日期b)。設定高強度密碼並強化帳戶安全性。https://support.google.com/accounts/answer/32040?hl=zh-Hant
  22. Hive Systems。(2025)。The 2025 Hive Systems Password Table Is Here - Passwords Are Easier to Crack Than Ever。https://www.hivesystems.com/blog/are-your-passwords-in-the-green
  23. Inside。(2023)。15 年前發明煩死人的密碼規則,Bill Burr:抱歉浪費大家時間。https://www.inside.com.tw/article/10162-the-guy-who-invented-those-annoying-password-rules-now-regrets-wasting-your-time
  24. Intelligent Technical Solutions。(2024)。NIST Password Guidelines: 9 Rules to Follow [Updated in 2024]。https://www.itsasap.com/blog/nist-password-guidelines
  25. iThome。(2020)。FBI:以長密詞取代密碼、不應設定密碼變更期間或次數上限。https://www.ithome.com.tw/news/135993
  26. MERXWIRE NEWS。(2026)。別再逼自己記符號密碼!資安新共識:密碼長度比複雜更重要。https://zh.merxwire.com/26071/
  27. Microsoft。(無日期)。什麼是密碼保護?。https://www.microsoft.com/zh-tw/security/business/security-101/what-is-password-protection
  28. National Cyber Security Centre (NCSC)。(無日期)。Top tips for staying secure online - Three random words。https://www.ncsc.gov.uk/collection/top-tips-for-staying-secure-online/three-random-words
  29. National Institute of Standards and Technology (NIST)。(2023)。NIST Special Publication 800-63. Appendix A。https://pages.nist.gov/800-63-3/sp800-63a.html
  30. National Institute of Standards and Technology (NIST)。(2025)。NIST Special Publication 800-63B-4 Authentication & Authenticator Management。https://pages.nist.gov/800-63-4/sp800-63b.html#appA
  31. NordVPN。(2020)。怎樣的密碼強度才能確保帳號的安全?。https://nordvpn.com/zh-tw/blog/mima-anquanxing/
瀏覽數:
友善列印
登入成功