密碼被駭屢見不鮮，我們該如何設定強健的密碼？

密碼被駭客破解的案例屢見不鮮，設定強健密碼組成為當務之急。可是我們該怎麼找出強健的密碼？又該如何確定密碼強度呢？這裡將列出設定密碼的概念與原則，告訴大家如何檢測密碼強度，讓駭客永遠無法偷窺我們的隱私。

十多年前，美國國家標準與技術研究所（NIST）的比爾‧伯爾公開建議說，我們應該把密碼弄得很複雜，配合大小寫字母、符號與數字，而且每 3 個月就要更換一次密碼，這樣就可以有效提升密碼強度。伯爾的建議獲得主流媒體的大肆宣傳，被視為設定密碼的黃金原則。

十多年過去了，伯爾才跳出來承認自己犯了大錯，當初他所建議的原則根本無助於提升密碼強度，反而導致用戶容易忘記密碼，還讓用戶養成使用相同密碼的壞習慣。說得極端一點，現在駭客這麼猖獗，伯爾必須負一部分責任。

事實上，設定密碼根本不需要搞得那麼囉嗦，只要密碼的長度夠長、無法被人輕易猜到，就可以擁有不錯的強度。這裡會按順序介紹密碼的設定原則，幫助你找出簡單好記又強健的密碼。

把密碼弄得很長

駭客挑戰你的密碼絕對不會用手指，而會使用較有效率的字典攻擊法。駭客會先蒐集常用字彙並建立字典資料庫，利用程式拼湊出大量的不同字串，然後以每秒數十、甚至數百次的速度攻擊你的帳戶。假如你的密碼裡面包含常用字彙（如 football、123456），長度又不夠長，大概沒過多久就會被駭客攻破。

為了提高密碼強度，首要原則就是將密碼弄得很長，只要密碼每多一個字元，就可以大幅提升破解所需的時間。如果駭客的程式每秒可以嘗試 1000 組密碼，破解一個內含大小寫、數字與符號的 11 字元的密碼僅需 3 天，破解另一個 20 字元的密碼卻得花上數百年。

▲ 各年度最常見的密碼排行榜。

避免使用常用字彙

許多人喜歡利用常用字彙拼湊密碼，如 HelloWorld 或 IamTheGod 之類的，這種做法雖然方便，卻很難阻擋字典攻擊。同樣的道理，知名諺語或台詞也應該避免出現在密碼內，如 toerrishuman（人非聖賢孰能無過）、hastemakeswaste（欲速則不達）、whysoserious（小丑的名言）都屬於強度很弱的密碼，請絕對不要使用。

特定主題與個人資料是設定密碼的大忌。你喜歡凱蒂貓？就不要在密碼內加入字串 Hello 或 Kitty。你的生日是 10 月 10 日？就別讓密碼裡面出現數字 10。你是蘋果粉絲？密碼就不該含有 Apple、Jobs 或 Mac 等字眼。

字典攻擊法無法應付細微的字元變化，我們可以稍微調整密碼細節，像是改變大小寫，或是在字彙中間安插特殊符號，便可有效降低字典攻擊的傷害。

▲ 調整密碼字元可以有效阻擋字典攻擊。

確保密碼強度

當你構思出一組密碼後，接下來就是確保密碼強度。目前有許多網站可以即時檢測密碼強度，你可以前往 How Secure Is My Password?、How Strong Is Your Password?、How Big Is Your Password? 等網站，輸入你的密碼，便可得到一些不錯的分析資料，幫助你判斷這組密碼夠不夠強。不過這些網站並不會檢測密碼是否包含常用字彙，所以這方面只能由我們自己把關。

當然啦，在陌生網站輸入你的密碼並非明智之舉。縱然上面這些網站有足夠的公信力保證安全，可是為了保險起見，建議你不要輸入正確密碼。這裡提供一個小技巧：用原理相同的密碼代替正確密碼進行檢測。假如你的正確密碼是 I_l0vE_PS234，可以輸入類似的字串 I_lIKe_XB567 進行檢測，其結果並不會相差太多。

▲ 字串「whysoserious」僅數日就可破解。

不要重複使用密碼

我們偶爾會看見知名網站遭駭的新聞，若你正好是該網站的會員，又在其他網站重複使用相同密碼，你就得自求多福了。可別以為這種倒楣事不會發生在你身上，一旦真的發生，你就會惹上源源不絕的麻煩－駭客會竊取你的身分，盜刷你的信用卡，害你每天跑法院，運氣不好的話甚至讓你吃牢飯。

就算你自認徹底掌握密碼的命名原則，仍然可能取到一個很爛的密碼，原因如下：

你選擇的隨機字串包含常用字彙：這將大幅降低密碼強度。網站 PasswordRandom 整理出 1 萬個最常見的密碼字彙，請別讓這些字彙出現在你的密碼內。
你習慣使用特定範圍的詞彙：這將限制你的密碼強度，也讓別人有機可乘。
你喜歡把密碼弄得很複雜：這會害你經常忘記密碼。當你重新設定密碼時就可能便宜行事，取一個單純卻很弱的密碼，導致你暴露在風險之下。

▲ 密碼 123456 強度趨近於零。

人類設定密碼很容易產生漏洞，這時候就得請密碼管理員代勞。密碼管理員剛開始可能讓你很不習慣，更換舊密碼又很費工夫，然而只要熬過前面這段掙扎期，密碼管理員就可以發揮可靠的效果，確保你的網路安全。

密碼管理員的主要功能是管理並存放密碼，幫你產生一組強健的密碼，或是在網站遭駭的時候提醒你採取行動。網路上有許多不錯的密碼管理員，你可以選一個順眼的來用，需要付費的密碼管理員能夠提供更多元的服務，不過免費的就很堪用了。

▲ 利用密碼管理員 Passter 管理密碼。

少數密碼管理員可以提供特殊功能。以 KeePass 為例，這套軟體可以協助你管理電腦內部檔案，你可以用密碼控制檔案權限，任何修改或開啟的動作都得輸入密碼才能順利執行。進階用戶會將 KeePass 加密後的檔案同步至雲端硬碟，這些檔案需要密碼才能解讀，就算駭客入侵雲端硬碟也沒在怕。

雲端的密碼管理員可能受到遠端攻擊，不過他們的資料受到重重加密，就算駭客入侵也無法取得用戶的密碼（前提是你的管理密碼夠強健）。

密碼管理員讓你無需費心記憶每一個網站的密碼，只需要記住管理密碼就行了。你得根據之前提到的密碼原則，設定一組強健的密碼做為管理密碼。值得注意的是，你的管理密碼一定要仔細挑選，否則一旦駭客猜到你的管理密碼，就可以輕易存取你的所有網路帳號，帶來毀滅性的後果，不可不慎。

▲ KeePass 是單機專用的密碼管理員。

你可以將管理密碼寫在紙上免得忘記，若你決定這麼做，記得將這張紙謹慎保管，放在絕對安全的地方，如錢包或保險櫃內。請別在這張紙上加註「管理密碼」之類的字眼，這會害死你自己。不用說，最適合收納管理密碼的地方就是大腦皮質，你可以花個幾天將密碼鎖在腦海裡，只有上帝可以將其偷走。

若你忘記管理密碼，密碼管理員還是有辦法幫你取回，不過這些辦法相當繁瑣，所以請盡量記住管理密碼，別替自己惹麻煩。

別讓瀏覽器記錄密碼

瀏覽器是駭客最喜歡攻擊的目標，Opera 去年就曾經發生用戶密碼遭駭的案例，連 Google 帳號也遭到池魚之殃。駭客並沒有擊敗 Google 的安全系統，而是駭入用戶的瀏覽器，取得存放在其中的帳號與密碼，再用這些資料存取 Google 帳號，把用戶搞得人仰馬翻。有鑑於此，我們寧可多花幾秒鐘手動輸入密碼，也不要讓瀏覽器記錄密碼。

▲ 瀏覽器記錄帳號密碼有很高的風險。

謹遵新的安全原則

現在我們有新的密碼原則，可是許多機構仍在使用舊的密碼原則。銀行或線上商城會建議你和過去一樣，設計一串複雜又難記的密碼。不用理會他們的舊建議，你可以利用本文的建議設計密碼；或是用密碼管理員產生一組密碼，再讓這組密碼符合該機構的最低需求（像是「至少含有 1 個數字」或「長度至少 10 個字元」）。

導入兩階段認證

兩階段認證是相當有效的安全措施，幾個動作就可以將安全性推到極致。兩階段認證的安全性根據其方式而定，認證應用程式通常比透過 SMS 回傳認證碼更安全，不過也稍嫌麻煩。假如你想前往的網站提供兩階段認證，記得花點時間進行認證，相當值得喔。

▲ 兩階段認證簡單又實惠。

不要回答安全性問題

某些網站在註冊時會要求你回答安全性問題，像是「你最喜歡的動物」或「你母親的名字」，這麼一來當你忘記密碼時，便可以藉由回答問題取回密碼。

其實安全性問題本身就是一個安全性問題！安全性問題的答覆機制可以追朔到 20 世紀初期，櫃台人員用安全性問題確認客戶身分，可是這套機制在百年後的今天早已不再適用，而且顯得非常滑稽。任何人都可以根據 Facebook 或 LinkedIn 的內容，查出你喜歡的動物是貓咪、得知你的母親叫做瑪莉，再藉由回答安全性問題取得你的密碼。

安全性問題是為了人類而設計，而非電腦，所以請別照實回答。你可以輸入假的答案，再將這份假答案存入你的密碼管理員。下次網站問你這類安全性問題時，儘管回答說你喜歡章魚，而且母親叫做灰原哀，不用感到不好意思。