密碼被駭屢見不鮮，我們該如何設定強健的密碼？

密碼被駭客破解的案例屢見不鮮，設定強健密碼組成為當務之急。可是我們該怎麼找出強健的密碼？又該如何確定密碼強度呢？這裡將列出設定密碼的概念與原則，告訴大家如何檢測密碼強度，讓駭客永遠無法偷窺我們的隱私。

十多年前，美國國家標準與技術研究所（NIST）的比爾．伯爾公開建議說，我們應該把密碼弄得很複雜，配合大小寫字母、符號與數字，而且每3個月就要更換一次密碼，這樣就可以有效提升密碼強度。伯爾的建議獲得主流媒體的大肆宣傳，被視為設定密碼的黃金原則。

十多年過去了，伯爾才跳出來承認自己犯了大錯，當初他所建議的原則根本無助於提升密碼強度，反而導致用戶容易忘記密碼，還讓用戶養成使用相同密碼的壞習慣。說得極端一點，現在駭客這麼猖獗，伯爾必須負一部分責任。

事實上，設定密碼根本不需要搞得那麼囉嗦。只要密碼的長度夠長、無法被人輕易猜到，就可以擁有不錯的強度。這裡會按順序介紹密碼的設定原則，幫助你找出簡單好記又強健的密碼。

▲挑選強健的密碼乃當務之急。

把密碼弄得很長

駭客挑戰你的密碼絕對不會用手指，而會使用較有效率的字典攻擊法。駭客會先蒐集常用字彙並建立字典資料庫，利用程式拼湊出大量的不同字串，然後以每秒數十、甚至數百次的速度攻擊你的帳戶。假如你的密碼裡面包含常用字彙（如football、123456），長度又不夠長，大概沒過多久就會被駭客攻破。

為了提高密碼強度，首要原則就是將密碼弄得很長，只要密碼每多一個字元，就可以大幅提升破解所需的時間。如果駭客的程式每秒可以嘗試1000組密碼，破解一個內含大小寫、數字與符號的11字元的密碼僅需3天，破解另一個20字元的密碼卻得花上數百年。

▲各年度最常見的密碼排行榜。

避免使用常用字彙

許多人喜歡利用常用字彙拼湊密碼，如HelloWorld或IamTheGod之類的，這種做法雖然方便，卻很難阻擋字典攻擊。同樣的道理，知名諺語或台詞也應該避免出現在密碼內，如toerrishuman（人非聖賢孰能無過）、hastemakeswaste（欲速則不達）、whysoserious（小丑的名言）都屬於強度很弱的密碼，請絕對不要使用。

特定主題與個人資料是設定密碼的大忌。你喜歡凱蒂貓？就不要在密碼內加入字串Hello或Kitty。你的生日是10月10日？就別讓密碼裡面出現數字10。你是蘋果粉絲？密碼就不該含有Apple、Jobs或Mac等字眼。

字典攻擊法無法應付細微的字元變化，我們可以稍微調整密碼細節，像是改變大小寫，或是在字彙中間安插特殊符號，便可有效降低字典攻擊的傷害。

▲調整密碼字元可以有效阻擋字典攻擊。

確保密碼強度

當你構思出一組密碼後，接下來就是確保密碼強度。目前有許多網站可以即時檢測密碼強度，你可以前往How Secure Is My Password?、How Strong Is Your Password?、How Big Is Your Password?等網站，輸入你的密碼，便可得到一些不錯的分析資料，幫助你判斷這組密碼夠不夠強。不過這些網站並不會檢測密碼是否包含常用字彙，所以這方面只能由我們自己把關。

當然啦，在陌生網站輸入你的密碼並非明智之舉。縱然上面這些網站有足夠的公信力保證安全，可是為了保險起見，建議你不要輸入正確密碼。這裡提供一個小技巧：用原理相同的密碼代替正確密碼進行檢測。假如你的正確密碼是I_l0vE_PS234，可以輸入類似的字串I_lIKe_XB567進行檢測，其結果並不會相差太多。

▲字串” whysoserious”僅需數日就會被破解。

不要重複使用密碼

我們偶爾會看見知名網站遭駭的新聞，若你正好是該網站的會員，又在其他網站重複使用相同密碼，你就得自求多福了。可別以為這種倒楣事不會發生在你身上，一旦真的發生，你就會惹上源源不絕的麻煩－駭客會竊取你的身分，盜刷你的信用卡，害你每天跑法院，運氣不好的話甚至讓你吃牢飯。

（後面還有：其他提升密碼強度的招式與技巧）