1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
長密碼沒有比較安全? 微軟限制密碼只能低於16字元
會用長密碼的 Hotmail 用戶請注意啦!微軟開始「勸導」用戶只輸入密碼的前16個字元就好,事實上也不只 Hotmail 有這個狀況啦,所有微軟的線上服務正在限制使用過長密碼。

在Outlook.com啟用後,用戶密碼就被限制少於16個字元,當時這還被拿來跟Yahoo(32個字元)及Gmail(200個字元以上)做比較,而現在16個字元的限制已經全面實施。

對本來就不愛好長密碼的用戶來說,也許這也不是什麼大不了的事情,乍聽之下還會覺得微軟真貼心,直接幫使用長密碼的用戶減少打一堆字的麻煩,然而這隱含兩個值得懷疑的問題:

1. 因為只透過密碼的前16個字元就能判斷密碼是否正確,會不會微軟是用字元比對的方式確認前16個字元呢?
如果是這樣,用戶的密碼就是以未加密的狀態躺在微軟的資料庫中,那駭客一入侵資料庫後,所有人的密碼就一覽無遺了;而我們也只能相信微軟絕對不會這麼大膽、放心地不把用戶資料加密。

2. 從一開始是否就只用前16個字元判斷密碼的正確性?
如果是這樣,那……一直使用長密碼的微軟用戶們,你的安全性一直只有16個字元而已喔!

微軟對此新措施有下述說明:

這並不代表您的密碼被縮短,Windows Live ID 的密碼一直都只採用前16個輸入字元,當登入 Windows Live 時,系統總會直接忽略超過的字元。當我們將 Windows Live ID 改版為 Microsoft account 時,我們也將此訊息更新於登入頁面,讓您知道只有密碼的前16個字元是需要填入的。

此外,微軟又進一步聲明:

請注意,我們已看過許多罪犯意圖用不同的方式欺騙我們的用戶,而我們的研究指出密碼的獨特性遠比長度重要。一般而言,我們同意密碼越長越好,然而,我們發現大部分的惡意攻擊是藉由網路釣魚、感染惡意軟體的裝置及多處使用相同密碼所造成的,使用非常長的密碼並無法對此有任何幫助。我們已多年採用16個字元為密碼長度上限,以此為基礎下,我們設計了創新的特點,將總優先處理用戶帳號的安全需求,並且將繼續監控駭客及垃圾訊息的來源。在這時間點,我們鼓勵用戶頻繁地重設 Microsoft account 的密碼,以獨特性做為密碼的主要考量,並且不在其他地方使用相同的密碼。

(資料來源:TNW;圖片來源:Ben Dodson, CC Licensed)