近年来资安事件越来越猖獗,但实际上,传统的密码设置方式,如混杂英数字等概念并没有办法真正维护密码安全,据 CyLab 资安实验室研究发现,真正要设置高强度密码,要如此做。
CyLab 安全和隐私实验室主任 Lorrie Cranor 指出,,虽然如今已经有很多检查密码安全的工具,但仍然很容易猜到,因为大部分其实都遵循类似的密码模式而不自知。例如在利用数字建构密码时,很习惯在末尾打 1。若要用英文大写,基本上也都是密码中的第一个字,若要用特殊字符,许多人都会选择用惊叹号!。
这些惯性行为,让密码并没有那么难猜,尽管你已经混合了英数字大小写外加特殊符号,且就算衡量密码强度的表已呈现红色,但实际上没有太大差别。基本上,只要是手动密码,通常为了方便记忆,就很难接近随机。像 ILoveYou2!这种字串虽符合密码表要求,但其实并不难被破解,还不如尽量增加密码长度来的有用。
所以基本上,使用密码管理器创建随机密码,才是最简单的方法,选择受信任的管理器如 1Password、LastPass 等才是防范骇客最坚实的第一道防线。不过就算是如此,理论上仍然还是必须要设置一个能用于解锁所有其他密码的主密码。因此,还是必须学习如何手动设计强大密码的技巧,以避免密码管理器本身被攻破。
避免设这种密码
首先,如前所述,密码越长越好,至少必须在 8 个字符以上才足够,不少人是采用 3~4 个随机单词的方式来组成,不过最好也不要去用常见单词,例如名字、宠物、生日、地址等等在社群媒体上能轻易查询到的讯息,还有如 mypassword、qwerty 甚至是 thequickbrownfox 等短语其实也不合适。
当然也不要在不同账户使用类似密码,例如 PasswordOne、PasswordTwo 等都不妥,且尽量不要再用被公开或盗用的密码,利用购买来的密码库,骇客可以轻易地使用凭证填充攻击(credential stuffing attacks)来侵入私人设备。目前如 Chrome 等内建密码管理器的浏览器都有检查功能。
不过值得一提的是,如今许多网站都会要求用户定期更换密码,但实际上其实没什么用处,只要密码还没有确认被泄露,就不需要真的频繁更换。反而是二重身份认证还比较必要,透过发送到私人设备的临时性密码,将可以更好的保护账号。当然最重要的还是用户本身必须更加主动的关心自己的资讯安全才是上策。
- Strong passwords aren’t as easy as adding 123. Here’s what experts say really helps
- 10 tips for choosing the right password manager for your team
- New year, time to update your passwords
- Best password manager to use for 2021: 1Password, LastPass and more compared
(首图来源:Flickr / Christoph Scholz CC BY 2.0)
延伸阅读:
- 电信业者引进中国白牌手机出现资安漏洞,NCC 未来采 2 应对措施
- 密码被窃了吗?Microsoft Edge 可替你查找在哪些网站外泄
- 发现“硬式编码漏洞”,Zyxel 用户面临严重资安威胁
- 比特币大涨好嗨,KPMG 示警:有三大资安风险
