ADVERTISEMENT
密碼被駭客破解的案例屢見不鮮,設定強健密碼組成為當務之急。可是我們該怎麼找出強健的密碼?又該如何確定密碼強度呢?這裡將列出設定密碼的概念與原則,告訴大家如何檢測密碼強度,讓駭客永遠無法偷窺我們的隱私。
十多年前,美國國家標準與技術研究所(NIST)的比爾.伯爾公開建議說,我們應該把密碼弄得很複雜,配合大小寫字母、符號與數字,而且每3個月就要更換一次密碼,這樣就可以有效提升密碼強度。伯爾的建議獲得主流媒體的大肆宣傳,被視為設定密碼的黃金原則。
十多年過去了,伯爾才跳出來承認自己犯了大錯,當初他所建議的原則根本無助於提升密碼強度,反而導致用戶容易忘記密碼,還讓用戶養成使用相同密碼的壞習慣。說得極端一點,現在駭客這麼猖獗,伯爾必須負一部分責任。
事實上,設定密碼根本不需要搞得那麼囉嗦。只要密碼的長度夠長、無法被人輕易猜到,就可以擁有不錯的強度。這裡會按順序介紹密碼的設定原則,幫助你找出簡單好記又強健的密碼。
▲挑選強健的密碼乃當務之急。
把密碼弄得很長
駭客挑戰你的密碼絕對不會用手指,而會使用較有效率的字典攻擊法。駭客會先蒐集常用字彙並建立字典資料庫,利用程式拼湊出大量的不同字串,然後以每秒數十、甚至數百次的速度攻擊你的帳戶。假如你的密碼裡面包含常用字彙(如football、123456),長度又不夠長,大概沒過多久就會被駭客攻破。
為了提高密碼強度,首要原則就是將密碼弄得很長,只要密碼每多一個字元,就可以大幅提升破解所需的時間。如果駭客的程式每秒可以嘗試1000組密碼,破解一個內含大小寫、數字與符號的11字元的密碼僅需3天,破解另一個20字元的密碼卻得花上數百年。
▲各年度最常見的密碼排行榜。
避免使用常用字彙
許多人喜歡利用常用字彙拼湊密碼,如HelloWorld或IamTheGod之類的,這種做法雖然方便,卻很難阻擋字典攻擊。同樣的道理,知名諺語或台詞也應該避免出現在密碼內,如toerrishuman(人非聖賢孰能無過)、hastemakeswaste(欲速則不達)、whysoserious(小丑的名言)都屬於強度很弱的密碼,請絕對不要使用。
特定主題與個人資料是設定密碼的大忌。你喜歡凱蒂貓?就不要在密碼內加入字串Hello或Kitty。你的生日是10月10日?就別讓密碼裡面出現數字10。你是蘋果粉絲?密碼就不該含有Apple、Jobs或Mac等字眼。
字典攻擊法無法應付細微的字元變化,我們可以稍微調整密碼細節,像是改變大小寫,或是在字彙中間安插特殊符號,便可有效降低字典攻擊的傷害。
▲調整密碼字元可以有效阻擋字典攻擊。
確保密碼強度
當你構思出一組密碼後,接下來就是確保密碼強度。目前有許多網站可以即時檢測密碼強度,你可以前往How Secure Is My Password?、How Strong Is Your Password?、How Big Is Your Password?等網站,輸入你的密碼,便可得到一些不錯的分析資料,幫助你判斷這組密碼夠不夠強。不過這些網站並不會檢測密碼是否包含常用字彙,所以這方面只能由我們自己把關。
當然啦,在陌生網站輸入你的密碼並非明智之舉。縱然上面這些網站有足夠的公信力保證安全,可是為了保險起見,建議你不要輸入正確密碼。這裡提供一個小技巧:用原理相同的密碼代替正確密碼進行檢測。假如你的正確密碼是I_l0vE_PS234,可以輸入類似的字串I_lIKe_XB567進行檢測,其結果並不會相差太多。
▲字串” whysoserious”僅需數日就會被破解。
不要重複使用密碼
我們偶爾會看見知名網站遭駭的新聞,若你正好是該網站的會員,又在其他網站重複使用相同密碼,你就得自求多福了。可別以為這種倒楣事不會發生在你身上,一旦真的發生,你就會惹上源源不絕的麻煩-駭客會竊取你的身分,盜刷你的信用卡,害你每天跑法院,運氣不好的話甚至讓你吃牢飯。
(後面還有:其他提升密碼強度的招式與技巧)
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!