Mannen som skapade lösenord helvete medger att han gjorde allt fel

Mannen vars råd tvingade världen att välja komplexa lösenord - med stora bokstäver, siffror och specialtecken - har erkänt att han ”skällde upp fel träd”.

Bill Burr, som arbetar vid National Institute of Standards and Technology, färgade riktlinjerna för lösenordsstyrka 2003.

Då rådde han oss också att uppdatera lösenord regelbundet, vilket betyder att vi hade upp till fem komplexa lösenord att komma ihåg när som helst.

"Mycket av det jag gjorde beklagar jag nu," sa Burr, nu 72 och pensionerad, till Wall Street Journal.

"I slutändan var det nog för komplicerat för många människor att förstå mycket bra, och sanningen är att det skällde upp fel träd."

Så var lämnar det oss? Tack och lov, NIST skapar en helt ny uppsättning riktlinjer, som översyner många av metoderna.

De nya riktlinjerna kräver längre fraser med minnesvärda ord sammanbundna. Till exempel skulle ”fishchipsmushypeas” vara mycket svårare att gissa än svagare lösenord med en ord som är fyllda med specialtecken och siffror.

Tydligen är dessa lösenord tillräckligt lätta att gissa eftersom människor bara byter ut ett 'o' för ett '0' eller ett 'jag' för ett '!'

Hejdå, påtvingade förändringar

Det nya rådet kräver också att regelbundna, påtvingade lösenordsändringar ska slängas om det inte finns något säkerhetsbrott.

NIST tror att människor bara tenderar att ändra en karaktär när de tvingas till en lösenordsändring. Så, Password1 blir Password2 och så vidare.

De nya riktlinjer säg: ”Forskning har dock visat att användare reagerar på mycket förutsägbara sätt på de krav som ställs av sammansättningsregler. Till exempel skulle en användare som kanske har valt "lösenord" som sitt lösenord relativt troligt att välja "Lösenord1" om det krävs för att inkludera en stor bokstav och ett nummer, eller "Lösenord1!" om en symbol också är nödvändig."

Burr är också bland dem som författar de nya riktlinjerna. Låt oss hoppas att han inte vänder om 15 år och ångrar allt igen.