近年來資安事件越來越猖獗,但實際上,傳統的密碼設置方式,如混雜英數字等概念並沒有辦法真正維護密碼安全,據 CyLab 資安實驗室研究發現,真正要設置高強度密碼,要如此做。

CyLab 安全和隱私實驗室主任 Lorrie Cranor 指出,雖然如今已經有很多檢查密碼安全的工具,但仍然很容易猜到,因為大部份其實都遵循類似的密碼模式而不自知。例如在利用數字建構密碼時,很習慣在末尾打 1。若要用英文大寫,基本上也都是密碼中的第一個字,若要用特殊字符,許多人都會選擇用驚嘆號「!」。

這些慣性行為,讓密碼並沒有那麼難猜,儘管你已經混合了英數字大小寫外加特殊符號,且就算衡量密碼強度的表已呈現紅色,但實際上沒有太大差別。基本上,只要是手動密碼,通常為了方便記憶,就很難接近隨機。像 ILoveYou2!這種字串雖符合密碼表要求,但其實並不難被破解,還不如盡量增加密碼長度來的有用。

所以基本上,使用密碼管理器創建隨機密碼,才是最簡單的方法,選擇受信任的管理器如 1Password、LastPass 等才是防範駭客最堅實的第一道防線。不過就算是如此,理論上仍然還是必須要設置一個能用於解鎖所有其他密碼的主密碼。因此,還是必須學習如何手動設計強大密碼的技巧,以避免密碼管理器本身被攻破。

避免設這種密碼

首先,如前所述,密碼越長越好,至少必須在 8 個字符以上才足夠,不少人是採用 3~4 個隨機單詞的方式來組成,不過最好也不要去用常見單詞,例如名字、寵物、生日、地址等等在社群媒體上能輕易查詢到的訊息,還有如 mypassword、qwerty 甚至是 thequickbrownfox 等短語其實也不合適。

當然也不要在不同帳戶使用類似密碼,例如 PasswordOne、PasswordTwo 等都不妥,且盡量不要再用被公開或盜用的密碼,利用購買來的密碼庫,駭客可以輕易地使用憑證填充攻擊(credential stuffing attacks)來侵入私人設備。目前如 Chrome 等內建密碼管理器的瀏覽器都有檢查功能。

不過值得一提的是,如今許多網站都會要求用戶定期更換密碼,但實際上其實沒什麼用處,只要密碼還沒有確認被洩露,就不需要真的頻繁更換。反而是二重身分認證還比較必要,透過發送到私人設備的臨時性密碼,將可以更好的保護帳號。當然最重要的還是用戶本身必須更加主動的關心自己的資訊安全才是上策。

資料來源:CNET(1)CNET(2)TechRadarSecurityBrief

本文授權轉載自《科技新報

作者介紹 |

科技新報 Technews

報導有價值、有意義的資訊,同時也會有具備全局觀點、個人觀點的意見或評論刊載,為市場和業內人士關心的趨勢、內幕與新聞。