密碼被駭客破解的案例屢見不鮮,設定強健密碼組成為當務之急。可是我們該怎麼找出強健的密碼?又該如何確定密碼強度呢?這裡將列出設定密碼的概念與原則,告訴大家如何檢測密碼強度,讓駭客永遠無法偷窺我們的隱私。
十多年前,美國國家標準與技術研究所(NIST)的比爾‧伯爾公開建議說,我們應該把密碼弄得很複雜,配合大小寫字母、符號與數字,而且每 3 個月就要更換一次密碼,這樣就可以有效提升密碼強度。伯爾的建議獲得主流媒體的大肆宣傳,被視為設定密碼的黃金原則。
十多年過去了,伯爾才跳出來承認自己犯了大錯,當初他所建議的原則根本無助於提升密碼強度,反而導致用戶容易忘記密碼,還讓用戶養成使用相同密碼的壞習慣。說得極端一點,現在駭客這麼猖獗,伯爾必須負一部分責任。
事實上,設定密碼根本不需要搞得那麼囉嗦,只要密碼的長度夠長、無法被人輕易猜到,就可以擁有不錯的強度。這裡會按順序介紹密碼的設定原則,幫助你找出簡單好記又強健的密碼。
把密碼弄得很長
駭客挑戰你的密碼絕對不會用手指,而會使用較有效率的字典攻擊法。駭客會先蒐集常用字彙並建立字典資料庫,利用程式拼湊出大量的不同字串,然後以每秒數十、甚至數百次的速度攻擊你的帳戶。假如你的密碼裡面包含常用字彙(如 football、123456),長度又不夠長,大概沒過多久就會被駭客攻破。
為了提高密碼強度,首要原則就是將密碼弄得很長,只要密碼每多一個字元,就可以大幅提升破解所需的時間。如果駭客的程式每秒可以嘗試 1000 組密碼,破解一個內含大小寫、數字與符號的 11 字元的密碼僅需 3 天,破解另一個 20 字元的密碼卻得花上數百年。
▲ 各年度最常見的密碼排行榜。
避免使用常用字彙
許多人喜歡利用常用字彙拼湊密碼,如 HelloWorld 或 IamTheGod 之類的,這種做法雖然方便,卻很難阻擋字典攻擊。同樣的道理,知名諺語或台詞也應該避免出現在密碼內,如 toerrishuman(人非聖賢孰能無過)、hastemakeswaste(欲速則不達)、whysoserious(小丑的名言)都屬於強度很弱的密碼,請絕對不要使用。
特定主題與個人資料是設定密碼的大忌。你喜歡凱蒂貓?就不要在密碼內加入字串 Hello 或 Kitty。你的生日是 10 月 10 日?就別讓密碼裡面出現數字 10。你是蘋果粉絲?密碼就不該含有 Apple、Jobs 或 Mac 等字眼。
字典攻擊法無法應付細微的字元變化,我們可以稍微調整密碼細節,像是改變大小寫,或是在字彙中間安插特殊符號,便可有效降低字典攻擊的傷害。
▲ 調整密碼字元可以有效阻擋字典攻擊。
確保密碼強度
當你構思出一組密碼後,接下來就是確保密碼強度。目前有許多網站可以即時檢測密碼強度,你可以前往 How Secure Is My Password?、How Strong Is Your Password?、How Big Is Your Password? 等網站,輸入你的密碼,便可得到一些不錯的分析資料,幫助你判斷這組密碼夠不夠強。不過這些網站並不會檢測密碼是否包含常用字彙,所以這方面只能由我們自己把關。
當然啦,在陌生網站輸入你的密碼並非明智之舉。縱然上面這些網站有足夠的公信力保證安全,可是為了保險起見,建議你不要輸入正確密碼。這裡提供一個小技巧:用原理相同的密碼代替正確密碼進行檢測。假如你的正確密碼是 I_l0vE_PS234,可以輸入類似的字串 I_lIKe_XB567 進行檢測,其結果並不會相差太多。
▲ 字串「whysoserious」僅數日就可破解。
不要重複使用密碼
我們偶爾會看見知名網站遭駭的新聞,若你正好是該網站的會員,又在其他網站重複使用相同密碼,你就得自求多福了。可別以為這種倒楣事不會發生在你身上,一旦真的發生,你就會惹上源源不絕的麻煩-駭客會竊取你的身分,盜刷你的信用卡,害你每天跑法院,運氣不好的話甚至讓你吃牢飯。
就算你自認徹底掌握密碼的命名原則,仍然可能取到一個很爛的密碼,原因如下:
- 你選擇的隨機字串包含常用字彙:這將大幅降低密碼強度。網站 PasswordRandom 整理出 1 萬個最常見的密碼字彙,請別讓這些字彙出現在你的密碼內。
- 你習慣使用特定範圍的詞彙:這將限制你的密碼強度,也讓別人有機可乘。
- 你喜歡把密碼弄得很複雜:這會害你經常忘記密碼。當你重新設定密碼時就可能便宜行事,取一個單純卻很弱的密碼,導致你暴露在風險之下。
▲ 密碼 123456 強度趨近於零。
人類設定密碼很容易產生漏洞,這時候就得請密碼管理員代勞。密碼管理員剛開始可能讓你很不習慣,更換舊密碼又很費工夫,然而只要熬過前面這段掙扎期,密碼管理員就可以發揮可靠的效果,確保你的網路安全。
密碼管理員的主要功能是管理並存放密碼,幫你產生一組強健的密碼,或是在網站遭駭的時候提醒你採取行動。網路上有許多不錯的密碼管理員,你可以選一個順眼的來用,需要付費的密碼管理員能夠提供更多元的服務,不過免費的就很堪用了。
▲ 利用密碼管理員 Passter 管理密碼。
少數密碼管理員可以提供特殊功能。以 KeePass 為例,這套軟體可以協助你管理電腦內部檔案,你可以用密碼控制檔案權限,任何修改或開啟的動作都得輸入密碼才能順利執行。進階用戶會將 KeePass 加密後的檔案同步至雲端硬碟,這些檔案需要密碼才能解讀,就算駭客入侵雲端硬碟也沒在怕。
雲端的密碼管理員可能受到遠端攻擊,不過他們的資料受到重重加密,就算駭客入侵也無法取得用戶的密碼(前提是你的管理密碼夠強健)。
密碼管理員讓你無需費心記憶每一個網站的密碼,只需要記住管理密碼就行了。你得根據之前提到的密碼原則,設定一組強健的密碼做為管理密碼。值得注意的是,你的管理密碼一定要仔細挑選,否則一旦駭客猜到你的管理密碼,就可以輕易存取你的所有網路帳號,帶來毀滅性的後果,不可不慎。
▲ KeePass 是單機專用的密碼管理員。
你可以將管理密碼寫在紙上免得忘記,若你決定這麼做,記得將這張紙謹慎保管,放在絕對安全的地方,如錢包或保險櫃內。請別在這張紙上加註「管理密碼」之類的字眼,這會害死你自己。不用說,最適合收納管理密碼的地方就是大腦皮質,你可以花個幾天將密碼鎖在腦海裡,只有上帝可以將其偷走。
若你忘記管理密碼,密碼管理員還是有辦法幫你取回,不過這些辦法相當繁瑣,所以請盡量記住管理密碼,別替自己惹麻煩。
別讓瀏覽器記錄密碼
瀏覽器是駭客最喜歡攻擊的目標,Opera 去年就曾經發生用戶密碼遭駭的案例,連 Google 帳號也遭到池魚之殃。駭客並沒有擊敗 Google 的安全系統,而是駭入用戶的瀏覽器,取得存放在其中的帳號與密碼,再用這些資料存取 Google 帳號,把用戶搞得人仰馬翻。有鑑於此,我們寧可多花幾秒鐘手動輸入密碼,也不要讓瀏覽器記錄密碼。
▲ 瀏覽器記錄帳號密碼有很高的風險。
謹遵新的安全原則
現在我們有新的密碼原則,可是許多機構仍在使用舊的密碼原則。銀行或線上商城會建議你和過去一樣,設計一串複雜又難記的密碼。不用理會他們的舊建議,你可以利用本文的建議設計密碼;或是用密碼管理員產生一組密碼,再讓這組密碼符合該機構的最低需求(像是「至少含有 1 個數字」或「長度至少 10 個字元」)。
導入兩階段認證
兩階段認證是相當有效的安全措施,幾個動作就可以將安全性推到極致。兩階段認證的安全性根據其方式而定,認證應用程式通常比透過 SMS 回傳認證碼更安全,不過也稍嫌麻煩。假如你想前往的網站提供兩階段認證,記得花點時間進行認證,相當值得喔。
▲ 兩階段認證簡單又實惠。
不要回答安全性問題
某些網站在註冊時會要求你回答安全性問題,像是「你最喜歡的動物」或「你母親的名字」,這麼一來當你忘記密碼時,便可以藉由回答問題取回密碼。
其實安全性問題本身就是一個安全性問題!安全性問題的答覆機制可以追朔到 20 世紀初期,櫃台人員用安全性問題確認客戶身分,可是這套機制在百年後的今天早已不再適用,而且顯得非常滑稽。任何人都可以根據 Facebook 或 LinkedIn 的內容,查出你喜歡的動物是貓咪、得知你的母親叫做瑪莉,再藉由回答安全性問題取得你的密碼。
安全性問題是為了人類而設計,而非電腦,所以請別照實回答。你可以輸入假的答案,再將這份假答案存入你的密碼管理員。下次網站問你這類安全性問題時,儘管回答說你喜歡章魚,而且母親叫做灰原哀,不用感到不好意思。
▲ 安全性問題的答案很容易被猜到。
自己的網路安全自己負責
擁有強健的密碼不代表可以高枕無憂,任何安全措施都有破綻。指紋可被竊取、兩階段認證可被重新導向、金鑰可被複製,所以我們不能掉以輕心;面對花招百出的駭客,我們必須謹慎行動,提升資訊安全意識,才能保住自己的權益。
看到這裡,你應該知道該怎麼做了:趕快找一個密碼管理員,用強健的新密碼取代舊的密碼,啟動兩階段認證,把存在瀏覽器裡面的密碼清理乾淨。別以為這樣就沒事了,今後你得持續注意資訊脈動,隨時調整既有的資安策略。這些就是我們活在網路時代的代價,也是我們資訊人的宿命。
