跳到主要內容區

新北市立淡水國民中學
新北市立淡水國民中學
形象橫幅左半部 形象橫幅左半部 形象橫幅右半部 形象橫幅右半部
:::
分類選單
:::
  1. 首頁
  2. [資通安全專區]📂

什麼是高強度密碼?[密碼安全原則說明]

發佈日期 : 2024-07-15 發佈者 : 資訊組長

過去的思維:強調複雜度

你一定遇過設定網站密碼時,要求要有大寫、小寫、數字、符號,還不能跟舊密碼太像。結果最後不是寫在備忘錄,就是把同一套密碼改個年份再上場。看起來很符合規則,實際上卻更容易被猜中,因為那些替換技巧早就被攻擊工具算進去了。

--林佳雯(2025)。別再逼自己記符號密碼!資安新共識:密碼長度比複雜更重要。MERXWIRE。

 

傳統的密碼設定規則:(2003, NIST)/ 已不推薦

  1. 密碼不能空白或沒有設定、不能與帳戶名稱完全相同、不能用預設密碼。
  2. 密碼最小長度8碼。
  3. 密碼必須包含下列4種字元中的3種:
    • 英文大寫字元(A到Z)
    • 英文小寫字元(a到z)
    • 10進位數字(0到9)
    • 特殊符號(例如:!、$、#、%)
  4. 密碼至少每 90 天更換一次。

 

這種密碼設定方式開始流行,起因於 2003 年美國國家標準技術研究所(NIST)所制定的一份文件附錄,有趣的是,撰寫該安全密碼最佳實踐原則的作者Bill Burr接受華爾街日報訪問時卻直言當初所制定的方式並不十分洽當,並為此造成使用者的不便感到抱歉("Much of what I did I now regret.")。他並不是在鼓勵使用容易被破解的密碼,而是因為當初撰寫時沒有考量到人類的惰性問題,太複雜的密碼組成要求不僅徒增困擾且可能還有反效果。

--陳彥銘(2017)。 密碼安全性原則,困擾的是駭客還是自己?。法務部調查局清流月刊106年11月號

 

系統管理員的訂定密碼設定規則的立意應該是好的。然而,如果設定密碼的使用者根本就記不住,最後只會出現兩種情形: 1. 因為記不住密碼而不得不越來越頻繁地找系統管理員重設密碼(而且設定過的還不能再用!) 2. 將密碼記在筆記或靠諸如Google Chrome等管理密碼。

--許可欣(2018)。也談資安:密碼迷思與出路 。臺灣大學計算機及資訊網路中心電子報,(46)。

 

Tr0ub4dor&3(一串難記的密碼,符合各種常見規則)有2的28次方種組合,每秒猜1000次,電腦只要約3天就能猜出來。「correcthorsebatterystaple」(4個隨機詞組成的密碼,沒有符合規則),有2的44次方種組合,每秒猜1000次大約需要550年。

--密碼規則發明人道歉:我很後悔,對不起浪費大家的時間!。(2023)。香港商業時報。

 

經過 20 年的努力,我們成功地訓練了所有人使用電腦容易猜到但人類難以記住的密碼。

--前NASA機器人專家 Randall Munroe(2011)。 《Password Strength》 (密碼強度)。網路漫畫 xkcd 第 936 幅作品。

 

進化的觀念:『夠長』比『夠亂』更難破解

密碼的長度比複雜度更重要。(2018,NIST)

 

美國國家標準暨技術研究院(National Institute of Standards and Technology,簡寫為NIST)認為,密碼的長度遠比複雜度更重要。基於 NIST 的理論,美國波特蘭(Portland)地區的 FBI 日前特地發文,建議企業 IT 人員以及一般網友,都應該選用長度更長的密詞(passphrase)來取代短而複雜的密碼組合(password)。

--黃慧雯(2020)。防駭靠這招 FBI建議別用複雜密碼要用15字密詞。中時新聞網。

FBI建議密碼選用長度更長的密詞(passphrase)來取代短而複雜的密碼組合(password)

 

FBI的資安技術專家表示,密碼破解難易度是受長度與複雜性影響,而長度又比複雜性的難度更高,不管是智慧門鎖、電腦登入密碼、信用卡密碼、網銀密碼……等等,都是相同的道理,因此與其選擇不相干的亂數組成密碼,不如選擇幾個單字組成一組超長的密碼,這樣不僅難以破解,民眾較不容易忘記密碼。

--林欣穎(2020)。FBI親授密碼這樣設最安全。匯流新聞網。

 

與其逼使用者設定花俏難記密碼,權威機構開始強調更務實觀念:「密碼越長越好,且要讓人記得住。」 英國國家網路安全中心 (NCSC) 近年大力推廣「三個隨機單字」組合法,核心邏輯是長度能大幅增加駭客猜測成本,且隨機組合遠比刻意替換字符(如將A改成@)更難被破解。

--林佳雯(2026)。別再逼自己記符號密碼!資安新共識:密碼長度比複雜更重要。MERXWIRE。

 

註1:離線破解:駭客透過系統漏洞、資料庫外洩或中間人攻擊,竊取資料庫雜湊值清單,並於自有設備進行無限制的暴力比對。
註2:2025年頂級顯卡 (如 RTX 4090) 針對特定雜湊格式,運算速度可達每秒 1,000 億次以上。

高強度密碼設定指引 (2025, NIST SP 800-63B)

  1. 密碼的長度比複雜度更重要:
    • 優先注重長度:建議用長度更長的密詞(passphrase)組合來取代短而複雜的密碼字元(password)。
    • 最大化相容性:系統應支援至少64字元,並允許使用空格、Emoji與所有Unicode字元
    • 廢除過時限制:是否加入大、小寫字母或特殊符號,由使用者自行決定,不強制要求。
  2. 友善且安全的規範:
    • 取消定期換密碼:不要強制使用者定期變更密碼,除非密碼已知被竊取。
    • 動態更新黑名單:針對已知的弱密碼(如常用字詞、洩漏過的密碼)由系統建立黑名單禁用。
    • 廢除安全提示:不要用「寵物名字、母親姓氏」等「問題提示」的方式幫助使用者回想密碼。
    • 密碼存儲防護:系統儲存密碼時應進行不可逆的雜湊處理,嚴禁以明碼儲存客戶密碼。

參考資料

  1. 設定高強度密碼並強化帳戶安全性(Google)
    https://support.google.com/accounts/answer/32040?hl=zh-Hant
  2. 高強度密碼的設定方式(Google)
    https://support.google.com/websearch/answer/15077462?hl=zh-Hant
  3. 什麼是密碼保護?(Microsoft)
    https://www.microsoft.com/zh-tw/security/business/security-101/what-is-password-protection
  4. 密碼強度(SSD 資安防護基礎教材)
    https://ssd.ocf.tw/chapter/profile/password.html
  5. 別再逼自己記符號密碼!資安新共識:密碼長度比複雜更重要(MERXWIRE NEWS,2026)
    https://zh.merxwire.com/26071/
  6. The 2025 Hive Systems Password Table Is Here - Passwords Are Easier to Crack Than Ever (Hive Systems,2025)
    https://www.hivesystems.com/blog/are-your-passwords-in-the-green
  7. NIST Special Publication 800-63B-4 Authentication & Authenticator Managemen (NIST,2025)
    https://pages.nist.gov/800-63-4/sp800-63b.html#appA
  8. NIST Special Publication 800-63. Appendix A (NIST,2023)
    https://pages.nist.gov/800-63-3/sp800-63a.html
  9. IT公司揭8數字密碼37秒破解 16數字需逾119年 專家:密碼愈長愈安全(明報,2024)
    https://news.mingpao.com/ins/%E7%86%B1%E9%BB%9E/article/20240513/s00024/1715578344701/it%E5%85%AC%E5%8F%B8%E6%8F%AD8%E6%95%B8%E5%AD%97%E5%AF%86%E7%A2%BC37%E7%A7%92%E7%A0%B4%E8%A7%A3-16%E6%95%B8%E5%AD%97%E9%9C%80%E9%80%BE119%E5%B9%B4-%E5%B0%88%E5%AE%B6-%E5%AF%86%E7%A2%BC%E6%84%88%E9%95%B7%E6%84%88%E5%AE%89%E5%85%A8
  10. 8字元密碼可在37秒內遭破解 專家建議愈長愈安全(中央社,2024)
    https://www.cna.com.tw/news/ait/202405130045.aspx
  11. 好的密碼應該要「很複雜」還是「很長」?一份新密碼指南打破大眾認知(科技報橘,2024)
    https://techorange.com/2024/10/14/complicated-passwords-make-you-less-safe-nist/
  12. 15 年前發明煩死人的密碼規則,Bill Burr:抱歉浪費大家時間 (Inside報導,2023)
    https://www.inside.com.tw/article/10162-the-guy-who-invented-those-annoying-password-rules-now-regrets-wasting-your-time
  13. 密碼管理:90天或定期更換密碼真的安全嗎?(資安科普,2023)
    https://simular.co/blog/post/78-%E5%AE%9A%E6%9C%9F%E6%9B%B4%E6%8F%9B%E5%AF%86%E7%A2%BC%E5%AE%89%E5%85%A8%E5%97%8E
  14. 為什麼我要學密碼設定?(中小學資訊素養與認知網)
    https://eliteracy.edu.tw/Archive.aspx?id=4189
  15. 密碼到底該怎麼設才安全?別再用你的生日啦!(中小學資訊素養與認知網,2021)
    https://eliteracy.edu.tw/Tip.aspx?id=4208
  16. 密碼安全原則(淡水分區輔導訪視資訊安全宣導,2020)
    http://www.tsjh.ntpc.edu.tw/var/file/0/1000/img/6/503139005.pdf
  17. FBI Tech Tuesday: Strong Passphrases and Account Protection(FBI,2021)
    https://www.fbi.gov/contact-us/field-offices/phoenix/news/press-releases/fbi-tech-tuesday-strong-passphrases-and-account-protection
  18. Oregon FBI Tech Tuesday: Building a Digital Defense with Passwords(FBI,2020)
    https://www.fbi.gov/contact-us/field-offices/portland/news/press-releases/oregon-fbi-tech-tuesday-building-a-digital-defense-with-passwords
  19. 密碼安全性原則,困擾的是駭客還是自己?(法務部調查局清流月刊106年11月號)
    https://www.nasc.gov.tw/News_Content.aspx?n=207&s=142812
  20. FBI親授密碼這樣設最安全 全球最爛密碼一併大公開!(匯流新聞網,2020)
    https://tw.news.yahoo.com/fbi%E8%A6%AA%E6%8E%88%E5%AF%86%E7%A2%BC%E9%80%99%E6%A8%A3%E8%A8%AD%E6%9C%80%E5%AE%89%E5%85%A8-%E5%85%A8%E7%90%83%E6%9C%80%E7%88%9B%E5%AF%86%E7%A2%BC-%E4%BD%B5%E5%A4%A7%E5%85%AC%E9%96%8B-024109757.html
  21. FBI:以長密詞取代密碼、不應設定密碼變更期間或次數上限(iThome新聞,2020)
    https://www.ithome.com.tw/news/135993
  22. FBI:密碼不需複雜只需長,建議改用 15 位以上密詞(Unwire HK,2020)
    https://infosecu.technews.tw/2020/03/04/building-a-digital-defense-with-passwords/
  23. 怎樣的密碼強度才能確保帳號的安全?(NordVPN,2020)
    https://nordvpn.com/zh-tw/blog/mima-anquanxing/
  24. 也談資安:密碼迷思與出路 (臺灣大學計算機及資訊網路中心電子報, 2018)
    https://www.cc.ntu.edu.tw/chinese/epaper/0046/20180920_4610.html
  25. 密碼規則發明人道歉:放錯重點 (台灣電腦網路危機處理暨協調中心TWCERT電子報,2017)
    https://www.twcert.org.tw/newepaper/cp-65-670-1071e-3.html
  26. 密碼規則的盲點與未來可能發展(邱述琛-資安人觀點,2017)
    https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=8549
  27. 「唉呀!你的密碼應該要有大寫英文和數字」密碼專家:拋棄這種規定吧 (地球圖輯隊,2017)
    https://dq.yam.com/post/8037
瀏覽數:
友善列印
登入成功