2010.01.12 07:30

喂!別讓小西瓜破了你的密碼

ADVERTISEMENT

日前,推特(Twitter)公佈了個禁止在他們網站使用的密碼,如:11111、batman、canada、stupid等字,這些簡單的數字、人名、地名或形容詞,別說是專門破解密碼的駭客,我看只要稍微有頭腦的小學生大概都猜得出來。

因為一般人設定密碼的心態其實很鬆散,方便、好記又好打就行,所以利用英文名、生日或身份證當密碼的人不在少數。當然囉,或許你已經跳脫出利用這些資訊做密碼的思維,但又真的好多少呢?試一試就知道。

測我測我測我……

ADVERTISEMENT

這是微軟所提供的「密碼測試網站」,要刮別人的鬍子,PP得先把自己的刮乾淨。

PP常用英文名字加生日當作密碼,「pp0509」。當然,PP的英文名,大家都知道,所以生日當然用別人的,嘿嘿!相信這是不少人會幹得事。但別忘了,通常犯罪都是熟人下得手,所以只要對PP夠了解,這個密碼其實很不安全。

廢言不說,先把密碼KEY進測試網站再說。

ADVERTISEMENT

▲ 不出所料,測試結果是紅燈的「弱」(weak),對系統而言,「pp0509」是個非常弱的密碼。

ADVERTISEMENT

▲ 改進一下,使用「ppadv0509」後,變成了黃燈的「中等」(Medium)。接下來PP試著加長(ppadvlin0509)和年份(ppadv05091983),仍被判定只有為中等的安全度。不過這個密碼就算是熟悉的人,要猜到也有一定難度了。

接下來,我們使用另一個對「密碼結構」進行評分的網站進行測試。

ADVERTISEMENT

▲ 輸入密碼後,下方會顯示得分及強度。「ppadv0509」只得到36分的弱(Weak)評價。

▲ 依密碼的結構進行分析,「ppadv0509」因為使用重複的字母(pp)、連續的小寫字母(ppadv)及數字(0509),所以被扣了18分。

▲ PP試著換換密碼的排序並少個p,變「p0509adv」。得分及強度馬上就躍升到「好」(Good)的等級,字多的密碼不見得有用,還是要花點心思……

▲ PP發現,密碼沒用到「大寫字母」及「符號」,特別是符號的運用,可以加不少分。被改成「*P0509adv」的密碼被評為一個強大(Strong)的密碼囉!

▲ 這個網站,把每個條件的強度分為四個等級,起碼都達到綠色的「Sufficient」會比較好。

▲網站上評分項目的中英對照表。

福爾摩斯也猜不著……

PP這裡提供幾個設定密碼時可以注意的地方,供網友們參考。

1、勿用個人資訊:像是生日、身份證字號或車牌這些想當然爾可以跟你直接連結的資料,除非你夠孤僻沒人認識你。

2、少用連續性的字元:像12345、abcdef這種連續的字母或數字,用破解程式幾秒就會失守。

3、避免名詞:只要是字典裡找得到的字,基本上都不太安全,即使是專業的冷門詞彙也一樣。

4、拆成無意義的字元:如果你怕記不住密碼想用特定的名詞或數字,那就拆開來用。雖然在password meter的分數上差異只有一點,但對防止身邊的宵小,效果其實不錯,因為要猜到「p05p09」的機率鐵定比「pp0509」的機率低很多。

5、混用大寫及符號:對電腦來說,大寫的X跟小寫的x編碼就是不一樣,被用暴力破解時,也會增加計算的時間,安全性自然也會提升。而加入火星文般!@$%^&的符號,更是讓密碼的強度大躍進。

6、增加密碼長度:微軟測試網站認為一個強力的密碼至少要超過 14個字元,實務上當然不可能做到。現在一個人在電腦網路上的帳密都幾十個上下,要符合這個標準超難。但建議至少超過八個字母,再混用大小寫字母和符號,就會是個不錯的密碼。

當然,無論你的密碼多強大,記得住才是你的,整天忘記重設也亂冏的。

另外,定時去更換密碼也很重要。就算是100分的密碼,時間一久,還是有被破解的風險,電腦的世界可不像ATM試三次就被吃卡這麼單純。不過,像是被駭客透過系統漏洞或木馬程式入侵等資安的議題,也不是單靠設個好密碼就可以撐完全場。

但如果能從密碼這個地方先注意,我敢說,至少……小西瓜和丁丁那群人沒什麼機會就是了。

ADVERTISEMENT