ADVERTISEMENT
使用密碼管理員
就算你自認澈底掌握密碼的命名原則,仍然可能取到一個很爛的密碼,原因如下:
- 你選擇的隨機字串包含常用字彙:這將大幅降低密碼強度。網站PasswordRandom整理出10000個最常見的密碼字彙,請別讓這些字彙出現在你的密碼內。
- 你習慣使用特定範圍的詞彙:這將限制你的密碼強度,也讓別人有機可乘。
- 你喜歡把密碼弄得很複雜:這會害你經常忘記密碼。當你重新設定密碼時就可能便宜行事,取一個單純卻很弱的密碼,導致你暴露在風險之下。
▲密碼123456強度趨近於零。
人類設定密碼很容易產生漏洞,這時候就得請密碼管理員代勞。密碼管理員剛開始可能讓你很不習慣,更換舊密碼又很費工夫,然而只要熬過前面這段掙扎期,密碼管理員就可以發揮可靠的效果,確保你的網路安全。
密碼管理員的主要功能是管理並存放密碼,幫你產生一組強健的密碼,或是在網站遭駭的時候提醒你採取行動。網路上有許多不錯的密碼管理員,你可以選一個順眼的來用,需要付費的密碼管理員能夠提供更多元的服務,不過免費的就很堪用了。
▲利用密碼管理員Passter管理密碼。
少數密碼管理員可以提供特殊功能。以KeePass為例,這套軟體可以協助你管理電腦內部檔案,你可以用密碼控制檔案權限,任何修改或開啟的動作都得輸入密碼才能順利執行。進階用戶會將KeePass加密後的檔案同步至雲端硬碟,這些檔案需要密碼才能解讀,就算駭客入侵雲端硬碟也沒在怕。
雲端的密碼管理員可能受到遠端攻擊,不過他們的資料受到重重加密,就算駭客入侵也無法取得用戶的密碼(前提是你的管理密碼夠強健)。
密碼管理員讓你無需費心記憶每一個網站的密碼,只需要記住管理密碼就行了。你得根據之前提到的密碼原則,設定一組強健的密碼做為管理密碼。值得注意的是,你的管理密碼一定要仔細挑選,否則一旦駭客猜到你的管理密碼,就可以輕易存取你的所有網路帳號,帶來毀滅性的後果,不可不慎。
▲KeePass是單機專用的密碼管理員。
你可以將管理密碼寫在紙上免得忘記,若你決定這麼做,記得將這張紙謹慎保管,放在絕對安全的地方,如錢包或保險櫃內。請別在這張紙上加註「管理密碼」之類的字眼,這會害死你自己。不用說,最適合收納管理密碼的地方就是大腦皮質,你可以花個幾天將密碼鎖在腦海裡,只有上帝可以將其偷走。
若你忘記管理密碼,密碼管理員還是有辦法幫你取回,不過這些辦法相當繁瑣,所以請盡量記住管理密碼,別替自己惹麻煩。
別讓瀏覽器記錄密碼
瀏覽器是駭客最喜歡攻擊的目標,Opera去年就曾經發生用戶密碼遭駭的案例,連Google帳號也遭到池魚之殃。駭客並沒有擊敗Google的安全系統,而是駭入用戶的瀏覽器,取得存放在其中的帳號與密碼,再用這些資料存取Google帳號,把用戶搞得人仰馬翻。有鑑於此,我們寧可多花幾秒鐘手動輸入密碼,也不要讓瀏覽器記錄密碼。
▲瀏覽器紀錄帳號密碼有很高的風險。
謹遵新的安全原則
現在我們有新的密碼原則,可是許多機構仍在使用舊的密碼原則。銀行或線上商城會建議你和過去一樣,設計一串複雜又難記的密碼。不用理會他們的舊建議,你可以利用本文的建議設計密碼;或是用密碼管理員產生一組密碼,再讓這組密碼符合該機構的最低需求(像是「至少含有1個數字」或「長度至少10個字元」)。
▲『我用12345這組密碼,順利駭入成千上萬的帳號。』
導入兩階段認證
兩階段認證是相當有效的安全措施,幾個動作就可以將安全性推到極致。兩階段認證的安全性根據其方式而定,認證應用程式通常比透過SMS回傳認證碼更安全,不過也稍嫌麻煩。假如你想前往的網站提供兩階段認證,記得花點時間進行認證,相當值得喔。
▲兩階段認證簡單又實惠。
不要回答安全性問題
某些網站在註冊時會要求你回答安全性問題,像是「你最喜歡的動物」或「你母親的名字」,這麼一來當你忘記密碼時,便可以藉由回答問題取回密碼。
其實安全性問題本身就是一個安全性問題!安全性問題的答覆機制可以追朔到20世紀初期,櫃台人員用安全性問題確認客戶身分,可是這套機制在百年後的今天早已不再適用,而且顯得非常滑稽。任何人都可以根據Facebook或LinkedIn的內容,查出你喜歡的動物是貓咪,得知你的母親叫做瑪莉,再藉由回答安全性問題取得你的密碼。
安全性問題是為了人類而設計,而非電腦,所以請別照實回答。你可以輸入假的答案,再將這份假答案存入你的密碼管理員。下次網站問你這類安全性問題時,儘管回答說你喜歡章魚,而且母親叫做灰原哀,不用感到不好意思。
▲安全性問題的答案很容易被猜到。
自己的網路安全自己負責
擁有強健的密碼不代表可以高枕無憂,任何安全措施都有破綻。指紋可以被竊取,兩階段認證可以被重新導向,金鑰可以被複製,所以我們不能掉以輕心。面對花招百出的黑客與駭客,我們必須謹慎行動,提升資訊安全意識,才能保住自己的權益。
看到這裡,你應該知道該怎麼做了:趕快找一個密碼管理員,用強健的新密碼取代舊的密碼,啟動兩階段認證,把存在瀏覽器裡面的密碼清理乾淨。別以為這樣就沒事了,今後你得持續注意資訊脈動,隨時調整既有的資安策略。這些就是我們活在網路上的代價,也是我們資訊人的宿命。
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!