喂！別讓小西瓜破了你的密碼

日前，推特(Twitter)公佈了370個禁止在他們網站使用的密碼，如：11111、batman、canada、stupid等字，這些簡單的數字、人名、地名或形容詞，別說是專門破解密碼的駭客，我看只要稍微有頭腦的小學生大概都猜得出來。

因為一般人設定密碼的心態其實很鬆散，方便、好記又好打就行，所以利用英文名、生日或身份證當密碼的人不在少數。當然囉，或許你已經跳脫出利用這些資訊做密碼的思維，但又真的好多少呢？試一試就知道。

測我測我測我……

MS password Checker

這是微軟所提供的「密碼測試網站」，要刮別人的鬍子，PP得先把自己的刮乾淨。

PP常用英文名字加生日當作密碼，「pp0509」。當然，PP的英文名，大家都知道，所以生日當然用別人的，嘿嘿！相信這是不少人會幹得事。但別忘了，通常犯罪都是熟人下得手，所以只要對PP夠了解，這個密碼其實很不安全。

廢言不說，先把密碼KEY進測試網站再說。

▲ 不出所料，測試結果是紅燈的「弱」(weak)，對系統而言，「pp0509」是個非常弱的密碼。

▲ 改進一下，使用「ppadv0509」後，變成了黃燈的「中等」(Medium)。接下來PP試著加長(ppadvlin0509)和年份(ppadv05091983)，仍被判定只有為中等的安全度。不過這個密碼就算是熟悉的人，要猜到也有一定難度了。

接下來，我們使用另一個對「密碼結構」進行評分的網站進行測試。

Password Meter

▲ 輸入密碼後，下方會顯示得分及強度。「ppadv0509」只得到36分的弱(Weak)評價。

▲ 依密碼的結構進行分析，「ppadv0509」因為使用重複的字母(pp)、連續的小寫字母(ppadv)及數字(0509)，所以被扣了18分。

▲ PP試著換換密碼的排序並少個p，變「p0509adv」。得分及強度馬上就躍升到「好」(Good)的等級，字多的密碼不見得有用，還是要花點心思……

▲ PP發現，密碼沒用到「大寫字母」及「符號」，特別是符號的運用，可以加不少分。被改成「*P0509adv」的密碼被評為一個強大(Strong)的密碼囉！

▲ 這個網站，把每個條件的強度分為四個等級，起碼都達到綠色的「Sufficient」會比較好。

▲網站上評分項目的中英對照表。

福爾摩斯也猜不著……

PP這裡提供幾個設定密碼時可以注意的地方，供網友們參考。

1、勿用個人資訊：像是生日、身份證字號或車牌這些想當然爾可以跟你直接連結的資料，除非你夠孤僻沒人認識你。

2、少用連續性的字元：像12345、abcdef這種連續的字母或數字，用破解程式幾秒就會失守。

3、避免名詞：只要是字典裡找得到的字，基本上都不太安全，即使是專業的冷門詞彙也一樣。

4、拆成無意義的字元：如果你怕記不住密碼想用特定的名詞或數字，那就拆開來用。雖然在password meter的分數上差異只有一點，但對防止身邊的宵小，效果其實不錯，因為要猜到「p05p09」的機率鐵定比「pp0509」的機率低很多。

5、混用大寫及符號：對電腦來說，大寫的X跟小寫的x編碼就是不一樣，被用暴力破解時，也會增加計算的時間，安全性自然也會提升。而加入火星文般!@$%^&的符號，更是讓密碼的強度大躍進。

6、增加密碼長度：微軟測試網站認為一個強力的密碼至少要超過 14個字元，實務上當然不可能做到。現在一個人在電腦網路上的帳密都幾十個上下，要符合這個標準超難。但建議至少超過八個字母，再混用大小寫字母和符號，就會是個不錯的密碼。

當然，無論你的密碼多強大，記得住才是你的，整天忘記重設也亂冏的。

另外，定時去更換密碼也很重要。就算是100分的密碼，時間一久，還是有被破解的風險，電腦的世界可不像ATM試三次就被吃卡這麼單純。不過，像是被駭客透過系統漏洞或木馬程式入侵等資安的議題，也不是單靠設個好密碼就可以撐完全場。

但如果能從密碼這個地方先注意，我敢說，至少……小西瓜和丁丁那群人沒什麼機會就是了。