2014.07.04 15:00

密碼保衛守則(下):設計安全密碼

ADVERTISEMENT

在這一系列文章的最後,筆者要和各位讀者分享一下關於密碼設計與挑選的方式。在瞭解了攻擊者經常使用的方式後,相信大家大概知道該如果避開常見的風險,設計出安全性更高的密碼,來保障自己的資訊安全。

提高複雜度是不二法門

在前篇文章中,我們提到了窮舉破解法與字典檔攻擊等方式,所以可以由此推斷,密碼的複雜性越高越好,最好能包含大、小寫英文字母、數字、符號等字元,並且避開使用英文單字或具有意義的詞彙。沒錯,這個方式雖然會讓使用者很難將密碼記住,不過卻能提高破解密碼的難度。

如果我原本以「APPLE123」為密碼,在Intel提供的安全測試網頁中顯示僅需約20秒便能破解,但改為「aPplE1@3」,便能將破解需時拉長至1小時。如果能進一步加入一些隨機亂碼字元與符號,將密碼改為「aPpl~EIfU1@3K」,破解需時馬上提高到1847年,安全更有保險,不過相對前2組密碼難記很多。

ADVERTISEMENT

如果換個方式,把「我是:李文恩,我愛~電腦王^_*喔耶」,轉換英文並加上我容易記住的電話號碼(假設是2678-1234),將字串變成「I am : Lee Wen En2678,I love PCADV ^_*hoya1234」,然後只取每組單字的字首或幾個字母,最後將密碼轉換成「Ia:LWenEn2678,IlPCADV^_*hy1234」,破解需時為3.2*10^22年(約300億兆年),安全性大服提升,而且相對容易記住,若擔心望記密碼,甚至將「我是:名字,我愛某本雜誌^_*喔耶,還有小明家的電話」填入密碼提示,相信別人看到之後也猜不出密碼。

▲隨著密碼長度與複雜度的提高,安全性也會隨之提高。

ADVERTISEMENT

▲在進行密碼設計時,應注意盡量不要留下有意義的單字,並且加入符號和數字。

多組密碼且定期更換

當我們設計好密碼之後,不要很高興的把這組密碼套用到所有的網路服務上。筆者建議先將網路服務分級管制,將需主要E-mail帳號設為最高安全順位,使用不與其他帳號重複的密碼。

ADVERTISEMENT

只於其他主要網路服務,或是透過這個E-mail地址做為帳號的服務,則使用另一組密碼,根據Intel於該測試網頁中的建議,在密碼中插入各服務的名稱,能夠在好記與安全性中取得不錯的平衡。比如說基礎密碼是「password」的話,Facebook的密碼就可設為「password_Fb」,Twitter的密碼就可設為「password_twitr」,以此類推。

至於討論區會員或是網站會員,只要不牽涉到信用卡或是真實個人資料(註冊時當然可以填假資料),該帳號對於攻擊者的價值相對小很多,比較不容易遭到破解。此外,我們也不能排除該網站被攻擊、竊取使用者資料,甚至根本就是釣魚網站,所以筆者建議除了要使用與前述2種情況不同的密碼外,也可使用簡單一點的密碼,比如單純以電話號碼(可以使用朋友的號碼,比較不會被猜中)做為密碼。

在設定好不同安全層級的密碼後,筆者也建議定期更換高安全性與中安全性密碼,以降低風險,但是千萬不要在密碼後面加註年份、月份做為變化,因為這樣很容易被字典檔攻擊破解。至於低安全性的部分,筆者個人認為可以不必更換。

ADVERTISEMENT

▲在密碼中加入大小寫字母、數字,如果網站支援的話,連空格也可以加進去。

▲使用多組密碼是提高安全性的好方法,尤其是跟錢有關的密碼更應注意。

▲在安全性需求較低的場合,可以在方便與安全性中取得不錯的平衡。

延伸閱讀:

ADVERTISEMENT