近年來，全球資安環境不斷演變，傳統的密碼策略已面臨嚴峻挑戰。我們對於「強度」的定義，必須從過去的強制複雜性，轉向更具實戰意義的「有效熵值」與長度。許多企業仍固守舊有的規定，要求用戶使用難以記憶且容易被寫下的複雜短密碼，這反而增加了資安風險與IT求助台的工作量。新的資安思維強調，用戶體驗與強大防禦並非魚與熊掌，密碼短語正是兼顧兩者的最佳方案。

從複雜性到長度：密碼學上的有效應值迷思

幾十年來，這個建議從未改變：使用包含大寫字母、小寫字母、數字和符號的複雜密碼。這樣做的目的是要讓駭客更難透過暴力破解密碼。當攻擊者從漏洞中竊取密碼哈希值時，他們會透過每秒數百萬次哈希運算來暴力破解，直到找到匹配的密碼。這個過程所需的時間取決於一件事：有多少種可能的組合。

但最近的指南表明，我們應該關注密碼長度，而不是複雜性。長度是更重要的安全因素，而密碼短語是讓使用者建立（並記住！）更長密碼的最簡單方法。傳統的 8 個字元的「複雜」密碼（P@ssw0rd！）大約有 218 兆種組合。聽起來很厲害，但現代 GPU 的測試時間卻短得可憐，只需數月而非數年。如果密碼長度增加到 16 個字符，且只使用小寫字母，那麼組合數將達到 26^16，破解難度將提升數十億倍。

密碼短語的實用性與攻擊抵抗力

與現行指南保持一致。 NIST 已明確表示：優先考慮長度，而非強制複雜性。傳統的 8 個字元的最低要求應該成為過去。不再需要管理 47 個密碼要求，只需為用戶提供一條明確的指示：選出 3-4 個不相關的常用字 + 一個分隔符號。避免使用歌詞、專有名詞或流行語。切勿跨帳戶重複使用。

mango-glacier-laptop-furnace或cricket.highway.mustard.piano

就是這樣。沒有強制大寫字母，沒有強制符號，沒有複雜的劇情。只有長度和隨機性，將這些作為關鍵績效指標 (KPI) 進行追蹤。

密碼短語的優勢不僅限於數學上的難度提升，更在於實際操作層面的改善。當密碼更易於記憶，使用者便不再傾向於將密碼寫在便利貼上或在不同帳戶間重複使用，這直接導致了求助台密碼重設請求的大幅減少。攻擊者擅長利用字典攻擊和常見的替換模式（例如將'a'換成'@'），而四個隨機單詞組成的密碼短語能完全繞開這些優化後的攻擊模式，大幅提高攻擊難度。

組織政策轉型的三大關鍵更新

企業在推行密碼短語策略時，應採取分階段滾動模式，以減少用戶阻力。首先可設立一個小規模的試點群組，觀察使用習慣並收集回饋。接著，在全組織範圍內啟用「僅警告」模式，讓用戶在不被強制阻擋的情況下意識到密碼強度或洩漏問題。在衡量了密碼短語採用率、Helpdesk重設量減少和封鎖清單命中率等關鍵績效指標 (KPI) 之後，再全面實施強制性新政策。

您的 Active Directory 密碼原則需要三個更新才能正確支援密碼：

(1) 提高最小長度。從 8 個字元增加到 14 個以上字元。這樣可以容納密碼短語，而不會給仍然喜歡傳統密碼的用戶帶來麻煩。

(2) 取消強制的複雜性檢查。不再要求輸入大寫字母、數字和符號。長度可以提高安全性，減少使用者操作的阻力。

(3) 阻止已洩漏的憑證。這一點不容商量。即使是最強的密碼，如果已經在資料外洩中洩露，也無濟於事。您的策略應該即時檢查提交內容是否與已知的已洩漏清單相符。

密碼短語並非靈丹妙藥。多重身份驗證 (MFA) 仍然很重要，洩漏憑證監控仍然很重要。但是，如果您要投入資源來更改密碼策略，那麼以下幾點才是關鍵：更長的最低密碼保護期限、更簡單的規則以及針對憑證洩露的真正保護。

總結而言，雖然多重身份驗證 (MFA) 和洩露憑證監控仍是不可或缺的防護層，但密碼策略的轉型是基礎。將資源投入於「更長的最小長度、更簡單的規則」以及「即時阻擋已洩露憑證」上，才能為企業提供真正有效的資安保護，以應對駭客離線竊取哈希值並暴力破解的持續威脅。