一份被称作“伯尔法则”的安全指南自2003年起被奉行至今年，它建议人们在密码中加入数字、奇怪的字符和大写字母，并定期更换──如今，该指南作者对自己的错误深感遗憾。

著名密码管理指南的作者坦承：他错了。

2003年，时任美国国家标准与技术研究院中层主管的比尔﹒伯尔(Bill Burr)撰写了《NIST特别出版物800-63，附录A》(NIST Special Publication 800-63. Appendix A)。这份指南长达8页，建议用奇怪的字符、大写字母和数字拼凑密码，并且定期更换，保障账户安全。

这份文件成了密码设置的汉谟拉比法典，众多政府机关、学术机构和大型企业在制定密码规则时纷纷效仿。

伯尔表示，其实这份文件中的大多建议都是错的。90天换一次密码？他叹了口气：多数人做的更改微乎其微，很容易猜到。把密码从Pa55word!1改成Pa55word!2，黑客破解简直易如反掌。

还有问题的一条是：密码里要有字母、数字、大写字母和特殊字符（感叹号或者问号之类的）──输入起来简直反人性。

“对以前写的很多东西，我现在感到很遗憾。”伯尔说，他今年72岁，已经退休。

今年6月，NIST发布了《特别出版物800-63》的彻底重修版，删掉了许多严苛的密码戒律。负责新版密码安全草案的是NIST的标准与技术顾问保罗﹒格拉西(Paul Grassi)，项目进行了两年，他说一开始团队成员都以为只要稍作编辑即可。

“结果我们彻底重写了一遍。”格拉西说。

外界也陆续读到了新版指南，格拉西表示，新版本里删去了密码有效期的说法，也不再要求混合特殊字符。以上规则对账户安全并无用处──它们“实际上还会让密码很不实用。”他说。

负责制定行业标准的美国国家机构NIST表示，较长但好记的短语胜过乱七八糟的字符，而且只有怀疑密码被盗时，才需要强制用户修改密码。

艾米﹒拉梅尔(Amy LaMere)在明尼阿波利斯一家商展陈列规划公司担任客户资源经理，每个月都要花一个小时记清楚数百个密码，她早就怀疑这完全是浪费时间。“要遵守这套密码规则，密码就更难记了。”她说，“然后我还得定期重置密码，花的时间就更多了。”

不过得知这套密码规则要推翻重来，她倒不生气，说自己这下感觉好多了。“我没说错吧，”谈到以前的规则她如是说，“这么做就是没意义的。”

密码研究人员表示，对于黑客来说，四个单词组成的长密码要比奇怪混乱的短密码难破解，因为一大堆字母就是要比很少的字母、字符和数字难处理。