（纽约9日综合电）密码必须由大小楷字母、数字和特别符号组成，且要定期更改，这些遭全球无数用户咒骂的登入密码设定政策，始作俑者是美国国家标准技术研究所（NIST）一名中层经理。这位鲜为人知的“密码教父”直认当年提出的指引是错的，扰民之余无助电脑网络保安。NIST早前已发出新指引废除有关建议。

过去10多年来被众多政府机构、大企业和主要网站奉为金科玉律的密码政策，出自2003年《NIST特别出版物800-63附录A》，撰写人伯尔现年72岁，已退休。回望这份影响深远的文件，他悔不当初：“当年干下的大部分事，我现在都在懊悔。”

骇客不难猜中

要求用户使用“x6Q9!bW#”之类“火星文”密码，原意是想令骇客无处入手，可是令用户难以记起，故此往往都只是将常用字词密码小修小改，以满足要求，如用“Pa$$w0rd”和“Monkey1!”，对于应付90日强制更改一次密码的要求也一样，如将“Pa55word!1”改为“Pa55word!2”，骇客不难猜中。

“火星文”密码的另一宗罪，是用户输入密码时要输入字母、数字和符号，违反一般人打字惯性，徒令他们要花更多时间输入。伯尔承认，这些政策“只令人们发怒，无论做什么，他们都不会挑选好的密码”。

NIST经过两年检讨后，今年6月发出新的《800-63附录A》指引，取消了密码必须包括数字和符号的要求，定时更改密码亦改为怀疑密码失窃才需要强制用户改密码，外界逐渐开始跟从。

领导新指引撰写工作的NIST顾问格拉西表示，旧要求对加强网络保安作用不大，“其实对可用性反有负面影响”。

新指引容许使用较长但较好记的英文字句作为密码，并建议密码系统应容许用长达64个字符的密码。

研究密码的学者指出，由4个英文单词组成的短句由于字符可能组合大得多，骇客想用程式逐个试来破解，难度其实远高于字符短的“火星文”密码。