密码被骇屡见不鲜,我们该如何设定强健的密码?

浏览量:365 点赞:594 收藏:755 2020-07-04

密码被骇屡见不鲜,我们该如何设定强健的密码?

密码被骇客破解的案例屡见不鲜,设定强健密码组成为当务之急。可是我们该怎幺找出强健的密码?又该如何确定密码强度呢?这里将列出设定密码的概念与原则,告诉大家如何检测密码强度,让骇客永远无法偷窥我们的隐私。

十多年前,美国国家标準与技术研究所(NIST)的比尔‧伯尔公开建议说,我们应该把密码弄得很複杂,配合大小写字母、符号与数字,而且每 3 个月就要更换一次密码,这样就可以有效提升密码强度。伯尔的建议获得主流媒体的大肆宣传,被视为设定密码的黄金原则。

十多年过去了,伯尔才跳出来承认自己犯了大错,当初他所建议的原则根本无助于提升密码强度,反而导致用户容易忘记密码,还让用户养成使用相同密码的坏习惯。说得极端一点,现在骇客这幺猖獗,伯尔必须负一部分责任。

事实上,设定密码根本不需要搞得那幺啰嗦,只要密码的长度够长、无法被人轻易猜到,就可以拥有不错的强度。这里会按顺序介绍密码的设定原则,帮助你找出简单好记又强健的密码。

把密码弄得很长

骇客挑战你的密码绝对不会用手指,而会使用较有效率的字典攻击法。骇客会先蒐集常用字彙并建立字典资料库,利用程式拼凑出大量的不同字串,然后以每秒数十、甚至数百次的速度攻击你的帐户。假如你的密码里面包含常用字彙(如 football、123456),长度又不够长,大概没过多久就会被骇客攻破。

为了提高密码强度,首要原则就是将密码弄得很长,只要密码每多一个字元,就可以大幅提升破解所需的时间。如果骇客的程式每秒可以尝试 1000 组密码,破解一个内含大小写、数字与符号的 11 字元的密码仅需 3 天,破解另一个 20 字元的密码却得花上数百年。

密码被骇屡见不鲜,我们该如何设定强健的密码? 各年度最常见的密码排行榜。

避免使用常用字彙

许多人喜欢利用常用字彙拼凑密码,如 HelloWorld 或 IamTheGod 之类的,这种做法虽然方便,却很难阻挡字典攻击。同样的道理,知名谚语或台词也应该避免出现在密码内,如 toerrishuman(人非圣贤孰能无过)、hastemakeswaste(欲速则不达)、whysoserious(小丑的名言)都属于强度很弱的密码,请绝对不要使用。

特定主题与个人资料是设定密码的大忌。你喜欢凯蒂猫?就不要在密码内加入字串 Hello 或 Kitty。你的生日是 10 月 10 日?就别让密码里面出现数字 10。你是苹果粉丝?密码就不该含有 Apple、Jobs 或 Mac 等字眼。

字典攻击法无法应付细微的字元变化,我们可以稍微调整密码细节,像是改变大小写,或是在字彙中间安插特殊符号,便可有效降低字典攻击的伤害。

密码被骇屡见不鲜,我们该如何设定强健的密码?

调整密码字元可以有效阻挡字典攻击。

确保密码强度

当你构思出一组密码后,接下来就是确保密码强度。目前有许多网站可以即时检测密码强度,你可以前往 How Secure Is My Password?、How Strong Is Your Password?、How Big Is Your Password? 等网站,输入你的密码,便可得到一些不错的分析资料,帮助你判断这组密码够不够强。不过这些网站并不会检测密码是否包含常用字彙,所以这方面只能由我们自己把关。

当然啦,在陌生网站输入你的密码并非明智之举。纵然上面这些网站有足够的公信力保证安全,可是为了保险起见,建议你不要输入正确密码。这里提供一个小技巧:用原理相同的密码代替正确密码进行检测。假如你的正确密码是 I_l0vE_PS234,可以输入类似的字串 I_lIKe_XB567 进行检测,其结果并不会相差太多。

密码被骇屡见不鲜,我们该如何设定强健的密码?

字串「whysoserious」仅数日就可破解。

不要重複使用密码

我们偶尔会看见知名网站遭骇的新闻,若你正好是该网站的会员,又在其他网站重複使用相同密码,你就得自求多福了。可别以为这种倒楣事不会发生在你身上,一旦真的发生,你就会惹上源源不绝的麻烦-骇客会窃取你的身分,盗刷你的信用卡,害你每天跑法院,运气不好的话甚至让你吃牢饭。

就算你自认彻底掌握密码的命名原则,仍然可能取到一个很烂的密码,原因如下:

    你选择的随机字串包含常用字彙:这将大幅降低密码强度。网站 PasswordRandom 整理出 1 万个最常见的密码字彙,请别让这些字彙出现在你的密码内。你习惯使用特定範围的词彙:这将限制你的密码强度,也让别人有机可乘。你喜欢把密码弄得很複杂:这会害你经常忘记密码。当你重新设定密码时就可能便宜行事,取一个单纯却很弱的密码,导致你暴露在风险之下。

密码被骇屡见不鲜,我们该如何设定强健的密码?

密码 123456 强度趋近于零。

人类设定密码很容易产生漏洞,这时候就得请密码管理员代劳。密码管理员刚开始可能让你很不习惯,更换旧密码又很费工夫,然而只要熬过前面这段挣扎期,密码管理员就可以发挥可靠的效果,确保你的网路安全。

密码管理员的主要功能是管理并存放密码,帮你产生一组强健的密码,或是在网站遭骇的时候提醒你採取行动。网路上有许多不错的密码管理员,你可以选一个顺眼的来用,需要付费的密码管理员能够提供更多元的服务,不过免费的就很堪用了。

密码被骇屡见不鲜,我们该如何设定强健的密码?

利用密码管理员 Passter 管理密码。

少数密码管理员可以提供特殊功能。以 KeePass 为例,这套软体可以协助你管理电脑内部档案,你可以用密码控制档案权限,任何修改或开启的动作都得输入密码才能顺利执行。进阶用户会将 KeePass 加密后的档案同步至云端硬碟,这些档案需要密码才能解读,就算骇客入侵云端硬碟也没在怕。

密码管理员让你无需费心记忆每一个网站的密码,只需要记住管理密码就行了。你得根据之前提到的密码原则,设定一组强健的密码做为管理密码。值得注意的是,你的管理密码一定要仔细挑选,否则一旦骇客猜到你的管理密码,就可以轻易存取你的所有网路帐号,带来毁灭性的后果,不可不慎。

密码被骇屡见不鲜,我们该如何设定强健的密码?

KeePass 是单机专用的密码管理员。

你可以将管理密码写在纸上免得忘记,若你决定这幺做,记得将这张纸谨慎保管,放在绝对安全的地方,如钱包或保险柜内。请别在这张纸上加注「管理密码」之类的字眼,这会害死你自己。不用说,最适合收纳管理密码的地方就是大脑皮质,你可以花个几天将密码锁在脑海里,只有上帝可以将其偷走。

别让浏览器记录密码

浏览器是骇客最喜欢攻击的目标,Opera 去年就曾经发生用户密码遭骇的案例,连 Google 帐号也遭到池鱼之殃。骇客并没有击败 Google 的安全系统,而是骇入用户的浏览器,取得存放在其中的帐号与密码,再用这些资料存取 Google 帐号,把用户搞得人仰马翻。有鉴于此,我们宁可多花几秒钟手动输入密码,也不要让浏览器记录密码。

密码被骇屡见不鲜,我们该如何设定强健的密码?

浏览器记录帐号密码有很高的风险。

谨遵新的安全原则

现在我们有新的密码原则,可是许多机构仍在使用旧的密码原则。银行或线上商城会建议你和过去一样,设计一串複杂又难记的密码。不用理会他们的旧建议,你可以利用本文的建议设计密码;或是用密码管理员产生一组密码,再让这组密码符合该机构的最低需求(像是「至少含有 1 个数字」或「长度至少 10 个字元」)。

导入两阶段认证

两阶段认证是相当有效的安全措施,几个动作就可以将安全性推到极致。两阶段认证的安全性根据其方式而定,认证应用程式通常比透过 SMS 回传认证码更安全,不过也稍嫌麻烦。假如你想前往的网站提供两阶段认证,记得花点时间进行认证,相当值得喔。

密码被骇屡见不鲜,我们该如何设定强健的密码?

两阶段认证简单又实惠。

不要回答安全性问题

某些网站在注册时会要求你回答安全性问题,像是「你最喜欢的动物」或「你母亲的名字」,这幺一来当你忘记密码时,便可以藉由回答问题取回密码。

其实安全性问题本身就是一个安全性问题!安全性问题的答覆机制可以追朔到 20 世纪初期,柜台人员用安全性问题确认客户身分,可是这套机制在百年后的今天早已不再适用,而且显得非常滑稽。任何人都可以根据 Facebook 或 LinkedIn 的内容,查出你喜欢的动物是猫咪、得知你的母亲叫做玛莉,再藉由回答安全性问题取得你的密码。

安全性问题是为了人类而设计,而非电脑,所以请别照实回答。你可以输入假的答案,再将这份假答案存入你的密码管理员。下次网站问你这类安全性问题时,儘管回答说你喜欢章鱼,而且母亲叫做灰原哀,不用感到不好意思。

密码被骇屡见不鲜,我们该如何设定强健的密码?

安全性问题的答案很容易被猜到。

自己的网路安全自己负责

拥有强健的密码不代表可以高枕无忧,任何安全措施都有破绽。指纹可被窃取、两阶段认证可被重新导向、金钥可被複製,所以我们不能掉以轻心;面对花招百出的骇客,我们必须谨慎行动,提升资讯安全意识,才能保住自己的权益。

看到这里,你应该知道该怎幺做了:赶快找一个密码管理员,用强健的新密码取代旧的密码,启动两阶段认证,把存在浏览器里面的密码清理乾净。别以为这样就没事了,今后你得持续注意资讯脉动,随时调整既有的资安策略。这些就是我们活在网路时代的代价,也是我们资讯人的宿命。

上一篇: 下一篇:

相关推荐