70b7667036c1325e846c003a51de635e 在這一系列文章的最後,筆者要和各位讀者分享一下關於密碼設計與挑選的方式。在瞭解了攻擊者經常使用的方式後,相信大家大概知道該如果避開常見的風險,設計出安全性更高的密碼,來保障自己的資訊安全。

提高複雜度是不二法門

在前篇文章中,我們提到了窮舉破解法與字典檔攻擊等方式,所以可以由此推斷,密碼的複雜性越高越好,最好能包含大、小寫英文字母、數字、符號等字元,並且避開使用英文單字或具有意義的詞彙。沒錯,這個方式雖然會讓使用者很難將密碼記住,不過卻能提高破解密碼的難度。

如果我原本以「APPLE123」為密碼,在Intel提供的安全測試網頁中顯示僅需約20秒便能破解,但改為「aPplE1@3」,便能將破解需時拉長至1小時。如果能進一步加入一些隨機亂碼字元與符號,將密碼改為「aPpl~EIfU1@3K」,破解需時馬上提高到1847年,安全更有保險,不過相對前2組密碼難記很多。

如果換個方式,把「我是:李文恩,我愛~電腦王^_*喔耶」,轉換英文並加上我容易記住的電話號碼(假設是2678-1234),將字串變成「I am : Lee Wen En2678,I love PCADV ^_*hoya1234」,然後只取每組單字的字首或幾個字母,最後將密碼轉換成「Ia:LWenEn2678,IlPCADV^_*hy1234」,破解需時為3.2*10^22年(約300億兆年),安全性大服提升,而且相對容易記住,若擔心望記密碼,甚至將「我是:名字,我愛某本雜誌^_*喔耶,還有小明家的電話」填入密碼提示,相信別人看到之後也猜不出密碼。

▲隨著密碼長度與複雜度的提高,安全性也會隨之提高。

▲在進行密碼設計時,應注意盡量不要留下有意義的單字,並且加入符號和數字。

多組密碼且定期更換

當我們設計好密碼之後,不要很高興的把這組密碼套用到所有的網路服務上。筆者建議先將網路服務分級管制,將需主要E-mail帳號設為最高安全順位,使用不與其他帳號重複的密碼。

只於其他主要網路服務,或是透過這個E-mail地址做為帳號的服務,則使用另一組密碼,根據Intel於該測試網頁中的建議,在密碼中插入各服務的名稱,能夠在好記與安全性中取得不錯的平衡。比如說基礎密碼是「password」的話,Facebook的密碼就可設為「password_Fb」,Twitter的密碼就可設為「password_twitr」,以此類推。

至於討論區會員或是網站會員,只要不牽涉到信用卡或是真實個人資料(註冊時當然可以填假資料),該帳號對於攻擊者的價值相對小很多,比較不容易遭到破解。此外,我們也不能排除該網站被攻擊、竊取使用者資料,甚至根本就是釣魚網站,所以筆者建議除了要使用與前述2種情況不同的密碼外,也可使用簡單一點的密碼,比如單純以電話號碼(可以使用朋友的號碼,比較不會被猜中)做為密碼。

在設定好不同安全層級的密碼後,筆者也建議定期更換高安全性與中安全性密碼,以降低風險,但是千萬不要在密碼後面加註年份、月份做為變化,因為這樣很容易被字典檔攻擊破解。至於低安全性的部分,筆者個人認為可以不必更換。

▲在密碼中加入大小寫字母、數字,如果網站支援的話,連空格也可以加進去。

▲使用多組密碼是提高安全性的好方法,尤其是跟錢有關的密碼更應注意。

▲在安全性需求較低的場合,可以在方便與安全性中取得不錯的平衡。

延伸閱讀:

安全又不影響速度,無線加密 WPA、WPA2 怎麼選?

Dropbox 同步前先幫你自動加密檔案,使用上很方便,重要資料不外洩

Chrome 超愚蠢的密碼保存策略,任何人不需要駭客技巧就可以看到

使用 Facebook 留言

司馬雲
1人給推

1.  司馬雲 (發表於 2014年7月04日 15:29)
我的習慣會弄一組比較長的密碼當主密碼
然後跟據網站的類型去縮短我的密碼
這樣只要記一組密碼,就有多組密碼的效果了
Hiro
2.  Hiro (發表於 2014年7月04日 22:54)
我的方法也差不多。
主密碼是變種碼,然後會從每個 service 或網站裡算出個 prefix,所以不會使用到重複的密碼。
GUESS
4.  GUESS (發表於 2014年7月08日 09:57)
教學做的不錯!講解的也非常好!
只不過國內有不少網站不接受空白鍵或特殊字元當密碼...什麼守則直接被這些網站打趴

發表回應

謹慎發言,尊重彼此。按此展開留言規則