此外，NIST 也否定強制使用混合字元（數字、符號、大寫字母）或設置秘密問題的做法。根據研究，多數人面對複雜規定時，反而會選擇「Password1!」這類容易被猜中的密碼。秘密問題的答案也常被重複使用，導致保護效果有限。

---不用混合。用你喜歡方式就好。每天打密碼。打久了變成肌肉記憶

NIST 反而建議企業導入「封鎖清單」（blocklist）機制，禁止使用常見或曾外洩的字串，例如「password」、「1234」、公司名稱等，當使用者嘗試設定這類密碼時系統應自動拒絕。根據安全公司 Soliton Systems 於 2024 年的調查，日本最常見的外洩密碼為「123456」，其次是「password」，「qwerty」則名列第四，這些皆屬封鎖清單的典型對象。

NIST 同時重申，不應強制用戶定期更換密碼，除非確認密碼已外洩。頻繁變更反而容易導致用戶採用重複或可預測的設定，降低整體安全性。

---外洩了就改密碼。你的郵件是這樣，你的筆電是這樣，未來你的信用卡也是這樣吧。

NIST 此次修訂的背景，是破解技術的急速進化。駭客常利用從企業洩漏出的帳號密碼清單，在暗網購得後使用專用軟體嘗試登入。近年亦出現名為「資訊竊取者（Infostealer）」的惡意程式，能在使用者不察覺的情況下竊取電腦中儲存的登入資訊，使得將帳密保存在瀏覽器中的風險大增。另外，利用密碼管理服務或瀏覽器的「無痕模式」可在一定程度上降低風險。

--你的密碼檔被偷走，用暴力破解方式就可以取得密碼。所以在猜中之前，趕快改密碼。

然而，僅依靠密碼作為單一認證手段的安全性仍不足。結合簡訊或電子郵件傳送的一次性密碼，以及指紋、臉部等生物辨識的多重認證方式，可有效提升防護力。因證券帳戶遭盜用事件頻傳，日本金融廳已要求業界導入新一代認證技術「Passkey」。

---你的 2FA 設定了沒？ 上網搜 authy app 看看。

認證要素越多，便利性與成本便會成反比。如何在安全與使用體驗之間取得平衡，是資訊產業長久以來的課題。隨著技術不斷進化，企業必須依照自身服務特性，採取靈活而實際的安全設定。

+@davecode - 黑大使用 NVIDIA 5080 顯卡進行暴力密碼破解的實驗，測試了對一組6位數...