Password Choices (Chinese Version Only)
Date : 29 Mar 2019
Organisation : Lapcom Limited
Writer : Mr. Eric KWOK, General Manager
密碼的抉擇:簡單+容易破解 vs 強力+容易忘記
每個人都有「不能說的密碼」,無論是網上銀行、購物還是社交媒體平台,現代人的生活與密碼不可分離,當每項服務都要求登入資料和密碼的時候,各人都有自己的應對方法,但是每個網站都採用不同密碼的用戶必定佔極少數。用戶須在「安全與方便」兩者間作出平衡的選擇。
密碼設定的困局:魚與熊掌之間
其實很多人都十分清楚,密碼是對抗網絡攻擊的第一道防線,保安業界亦多年來重複講解強密碼的特性及應用──足夠長度,包含特別字符、數字和大小楷文字,而且每個帳號都使用不同的密碼。可惜長年以來仍然有人堅持使用弱密碼或重複使用相同的密碼,因為在設定密碼時大部份人都經歷過在「安全與方便」兩者間作出選擇。
太複雜的密碼也太容易忘記
設定複雜的密碼當然可以令帳號更加安全,可惜有時候連自己也忘記這些密碼,對任何人而言,密碼「password123」會較「Pa$$W0rdTh3G14nT123」更容易記住。根據報道,大部份受訪者都明白複雜密碼的重要性,並認為以下三種帳號需要最安全的密碼──網上銀行63%、付款應用程式(包括電子錢包)42%和網上購物41%。然而,有51%受訪者承認不安全地儲存他們的密碼,其中有23%只儲存在記事本上。
容易記的密碼也容易被破解
為避免看見「登入密碼不正確」畫面,很多用戶選擇方便而放棄安全,為逃避記住多條密碼的痛苦,大約10%用戶選擇全部網站採用相同的密碼,此舉無疑是引狼入室,而且是一場押上全部帳號的賭博。根據統計,17%受訪者在2017年內至少有一個帳號被入侵,最常見的目標為電郵帳號(41%),其次是社交媒體(37%)和銀行及網上商店(各18%)。
尋求第三個選擇
有一個方法可以解決以上所述的難題:密碼管理工具!市面上有專門用作管理密碼的工具,聽起來複雜,其實用起來簡單,用戶只需要設定一組複雜的密碼(一般人都能記住一組複雜密碼),由這組密碼去保護其他密碼,密碼管理工具儲存並在登入帳號時替用戶填入帳號密碼,由於全部都經過加密,所以無人可以窺探。
發揮創意:琅琅上口的歌詞或語句密碼
如果不想倚靠密碼管理工具,而又想在比較容易記起的情況下設定高強度密碼,這時候用戶須發揮創意和想像力。近期有專家提出一種密碼設定方法,比定期更改帳號密碼更強力和有效,而且密碼強度高和容易記,方法的重點與歌詞或語句有關,請參考以下的設定步驟:
步驟1:設定靜態字符串
- 思考容易記住的歌詞或語句,包括英文歌詞、金句或詩句。
- 取句子中每個字的頭一個字母(至少3至5個字)。
- 在每個字母之間加入特別符號:@/#等等。
以上的步驟將會組成每條高強度密碼的基本部分。
步驟2:增強聯想力
- 當思考需要密碼的帳號時(例如:Facebook、Twitter、eBay、網上銀行、網上購物、遊戲網站等),寫下令你聯想到的事物。
- 例如:為Facebook設定密碼時,如果聯想到標記的藍色,就簡單記下「blue」(可以全大楷)。
結合以上兩個步驟,假設容易記住的歌詞或語句是「I have lived in Hong Kong for 20 years」,中間加入特別符號都是「#」,再加上Facebook的聯想結果,最終的密碼就是「I#H#L#I#H#K#F#2#Yblue」;用戶又可以選擇以獨特密碼「DK#A8b」再加上簡單容易聯想的密碼「teddybear」,組合成高強度密碼 ─「DK#A8bteddybear」。如此一來用戶只要明白密碼的組合機制,就能較容易記住不同帳號的高強度密碼。
查核密碼的設定
當大家設定密碼後,亦要小心查核密碼是否符合以下5點:
- 每條密碼至少15個字符,越長越好。
- 字符結合大小楷、數字和符號。
- 密碼不要包含個人資料例如:出生日期、出生地、伴侶姓名等資料都有機會從網絡上找到,Facebook就是其中一個地方。
- 密碼不要使用常見於字典的字詞,「字典攻擊」是十分常見,使用程式不斷嘗試就有機會破解。
- 每個帳號使用不同的密碼,避免「火燒連環船」。
最後,想提醒大家,當懷疑密碼已被破解,須立即更改有關密碼。