密码被骇客破解的案例屡见不鲜,设定强健密码组成为当务之急。可是我们该怎么找出强健的密码?又该如何确定密码强度呢?这里将列出设定密码的概念与原则,告诉大家如何检测密码强度,让骇客永远无法偷窥我们的隐私。
十多年前,美国国家标准与技术研究所(NIST)的比尔‧伯尔公开建议说,我们应该把密码弄得很复杂,配合大小写字母、符号与数字,而且每 3 个月就要更换一次密码,这样就可以有效提升密码强度。伯尔的建议获得主流媒体的大肆宣传,被视为设定密码的黄金原则。
十多年过去了,伯尔才跳出来承认自己犯了大错,当初他所建议的原则根本无助于提升密码强度,反而导致用户容易忘记密码,还让用户养成使用相同密码的坏习惯。说得极端一点,现在骇客这么猖獗,伯尔必须负一部分责任。
事实上,设定密码根本不需要搞得那么啰嗦,只要密码的长度够长、无法被人轻易猜到,就可以拥有不错的强度。这里会按顺序介绍密码的设定原则,帮助你找出简单好记又强健的密码。
把密码弄得很长
骇客挑战你的密码绝对不会用手指,而会使用较有效率的字典攻击法。骇客会先搜集常用字汇并建立字典数据库,利用程式拼凑出大量的不同字串,然后以每秒数十、甚至数百次的速度攻击你的账户。假如你的密码里面包含常用字汇(如 football、123456),长度又不够长,大概没过多久就会被骇客攻破。
为了提高密码强度,首要原则就是将密码弄得很长,只要密码每多一个字元,就可以大幅提升破解所需的时间。如果骇客的程式每秒可以尝试 1000 组密码,破解一个内含大小写、数字与符号的 11 字元的密码仅需 3 天,破解另一个 20 字元的密码却得花上数百年。
▲ 各年度最常见的密码排行榜。
避免使用常用字汇
许多人喜欢利用常用字汇拼凑密码,如 HelloWorld 或 IamTheGod 之类的,这种做法虽然方便,却很难阻挡字典攻击。同样的道理,知名谚语或台词也应该避免出现在密码内,如 toerrishuman(人非圣贤孰能无过)、hastemakeswaste(欲速则不达)、whysoserious(小丑的名言)都属于强度很弱的密码,请绝对不要使用。
特定主题与个人资料是设定密码的大忌。你喜欢凯蒂猫?就不要在密码内加入字串 Hello 或 Kitty。你的生日是 10 月 10 日?就别让密码里面出现数字 10。你是苹果粉丝?密码就不该含有 Apple、Jobs 或 Mac 等字眼。
字典攻击法无法应付细微的字元变化,我们可以稍微调整密码细节,像是改变大小写,或是在字汇中间安插特殊符号,便可有效降低字典攻击的伤害。
▲ 调整密码字元可以有效阻挡字典攻击。
确保密码强度
当你构思出一组密码后,接下来就是确保密码强度。目前有许多网站可以即时检测密码强度,你可以前往 How Secure Is My Password?、How Strong Is Your Password?、How Big Is Your Password? 等网站,输入你的密码,便可得到一些不错的分析资料,帮助你判断这组密码够不够强。不过这些网站并不会检测密码是否包含常用字汇,所以这方面只能由我们自己把关。
当然啦,在陌生网站输入你的密码并非明智之举。纵然上面这些网站有足够的公信力保证安全,可是为了保险起见,建议你不要输入正确密码。这里提供一个小技巧:用原理相同的密码代替正确密码进行检测。假如你的正确密码是 I_l0vE_PS234,可以输入类似的字串 I_lIKe_XB567 进行检测,其结果并不会相差太多。
▲ 字串“whysoserious”仅数日就可破解。
不要重复使用密码
我们偶尔会看见知名网站遭骇的新闻,若你正好是该网站的会员,又在其他网站重复使用相同密码,你就得自求多福了。可别以为这种倒楣事不会发生在你身上,一旦真的发生,你就会惹上源源不绝的麻烦-骇客会窃取你的身份,盗刷你的信用卡,害你每天跑法院,运气不好的话甚至让你吃牢饭。
就算你自认彻底掌握密码的命名原则,仍然可能取到一个很烂的密码,原因如下:
- 你选择的随机字串包含常用字汇:这将大幅降低密码强度。网站 PasswordRandom 整理出 1 万个最常见的密码字汇,请别让这些字汇出现在你的密码内。
- 你习惯使用特定范围的词汇:这将限制你的密码强度,也让别人有机可乘。
- 你喜欢把密码弄得很复杂:这会害你经常忘记密码。当你重新设定密码时就可能便宜行事,取一个单纯却很弱的密码,导致你暴露在风险之下。
▲ 密码 123456 强度趋近于零。
人类设定密码很容易产生漏洞,这时候就得请密码管理员代劳。密码管理员刚开始可能让你很不习惯,更换旧密码又很费工夫,然而只要熬过前面这段挣扎期,密码管理员就可以发挥可靠的效果,确保你的网络安全。
密码管理员的主要功能是管理并存放密码,帮你产生一组强健的密码,或是在网站遭骇的时候提醒你采取行动。网络上有许多不错的密码管理员,你可以选一个顺眼的来用,需要付费的密码管理员能够提供更多元的服务,不过免费的就很堪用了。
▲ 利用密码管理员 Passter 管理密码。
少数密码管理员可以提供特殊功能。以 KeePass 为例,这套软件可以协助你管理电脑内部档案,你可以用密码控制档案权限,任何修改或开启的动作都得输入密码才能顺利执行。进阶用户会将 KeePass 加密后的档案同步至云端硬盘,这些档案需要密码才能解读,就算骇客入侵云端硬盘也没在怕。
云端的密码管理员可能受到远端攻击,不过他们的资料受到重重加密,就算骇客入侵也无法取得用户的密码(前提是你的管理密码够强健)。
密码管理员让你无需费心记忆每一个网站的密码,只需要记住管理密码就行了。你得根据之前提到的密码原则,设定一组强健的密码做为管理密码。值得注意的是,你的管理密码一定要仔细挑选,否则一旦骇客猜到你的管理密码,就可以轻易存取你的所有网络账号,带来毁灭性的后果,不可不慎。
▲ KeePass 是单机专用的密码管理员。
你可以将管理密码写在纸上免得忘记,若你决定这么做,记得将这张纸谨慎保管,放在绝对安全的地方,如钱包或保险柜内。请别在这张纸上加注“管理密码”之类的字眼,这会害死你自己。不用说,最适合收纳管理密码的地方就是大脑皮质,你可以花个几天将密码锁在脑海里,只有上帝可以将其偷走。
若你忘记管理密码,密码管理员还是有办法帮你取回,不过这些办法相当繁琐,所以请尽量记住管理密码,别替自己惹麻烦。
别让浏览器记录密码
浏览器是骇客最喜欢攻击的目标,Opera 去年就曾经发生用户密码遭骇的案例,连 Google 账号也遭到池鱼之殃。骇客并没有击败 Google 的安全系统,而是骇入用户的浏览器,取得存放在其中的账号与密码,再用这些资料存取 Google 账号,把用户搞得人仰马翻。有鉴于此,我们宁可多花几秒钟手动输入密码,也不要让浏览器记录密码。
▲ 浏览器记录账号密码有很高的风险。
谨遵新的安全原则
现在我们有新的密码原则,可是许多机构仍在使用旧的密码原则。银行或线上商城会建议你和过去一样,设计一串复杂又难记的密码。不用理会他们的旧建议,你可以利用本文的建议设计密码;或是用密码管理员产生一组密码,再让这组密码符合该机构的最低需求(像是“至少含有 1 个数字”或“长度至少 10 个字元”)。
导入两阶段认证
两阶段认证是相当有效的安全措施,几个动作就可以将安全性推到极致。两阶段认证的安全性根据其方式而定,认证应用程序通常比透过 SMS 回传认证码更安全,不过也稍嫌麻烦。假如你想前往的网站提供两阶段认证,记得花点时间进行认证,相当值得喔。
▲ 两阶段认证简单又实惠。
不要回答安全性问题
某些网站在注册时会要求你回答安全性问题,像是“你最喜欢的动物”或“你母亲的名字”,这么一来当你忘记密码时,便可以借由回答问题取回密码。
其实安全性问题本身就是一个安全性问题!安全性问题的答复机制可以追朔到 20 世纪初期,柜台人员用安全性问题确认客户身份,可是这套机制在百年后的今天早已不再适用,而且显得非常滑稽。任何人都可以根据 Facebook 或 LinkedIn 的内容,查出你喜欢的动物是猫咪、得知你的母亲叫做玛莉,再借由回答安全性问题取得你的密码。
安全性问题是为了人类而设计,而非电脑,所以请别照实回答。你可以输入假的答案,再将这份假答案存入你的密码管理员。下次网站问你这类安全性问题时,尽管回答说你喜欢章鱼,而且母亲叫做灰原哀,不用感到不好意思。
▲ 安全性问题的答案很容易被猜到。
自己的网络安全自己负责
拥有强健的密码不代表可以高枕无忧,任何安全措施都有破绽。指纹可被窃取、两阶段认证可被重新导向、金钥可被复制,所以我们不能掉以轻心;面对花招百出的骇客,我们必须谨慎行动,提升资讯安全意识,才能保住自己的权益。
看到这里,你应该知道该怎么做了:赶快找一个密码管理员,用强健的新密码取代旧的密码,启动两阶段认证,把存在浏览器里面的密码清理干净。别以为这样就没事了,今后你得持续注意资讯脉动,随时调整既有的资安策略。这些就是我们活在网络时代的代价,也是我们资讯人的宿命。
(本文由 T客邦 授权转载;首图来源:pixabay)
