密码的抉择
日期 : 2019年3月29日
机构 : 立高科技有限公司
作者 : 立高科技有限公司总经理 郭伟侨先生
密码的抉择:简单+容易破解 vs 强力+容易忘记
每个人都有「不能说的密码」,无论是网上银行、购物还是社交媒体平台,现代人的生活与密码不可分离,当每项服务都要求登入资料和密码的时候,各人都有自己的应对方法,但是每个网站都采用不同密码的用户必定占极少数。用户须在「安全与方便」两者间作出平衡的选择。
密码设定的困局:鱼与熊掌之间
其实很多人都十分清楚,密码是对抗网络攻击的第一道防线,保安业界亦多年来重复讲解强密码的特性及应用──足够长度,包含特别字符、数字和大小楷文字,而且每个帐号都使用不同的密码。可惜长年以来仍然有人坚持使用弱密码或重复使用相同的密码,因为在设定密码时大部份人都经历过在「安全与方便」两者间作出选择。
太复杂的密码也太容易忘记
设定复杂的密码当然可以令帐号更加安全,可惜有时候连自己也忘记这些密码,对任何人而言,密码「password123」会较「Pa$$W0rdTh3G14nT123」更容易记住。根据报道,大部份受访者都明白复杂密码的重要性,并认为以下三种帐号需要最安全的密码──网上银行63%、付款应用程式(包括电子钱包)42%和网上购物41%。然而,有51%受访者承认不安全地储存他们的密码,其中有23%只储存在记事本上。
容易记的密码也容易被破解
为避免看见「登入密码不正确」画面,很多用户选择方便而放弃安全,为逃避记住多条密码的痛苦,大约10%用户选择全部网站采用相同的密码,此举无疑是引狼入室,而且是一场押上全部帐号的赌博。根据统计,17%受访者在2017年内至少有一个帐号被入侵,最常见的目标为电邮帐号(41%),其次是社交媒体(37%)和银行及网上商店(各18%)。
寻求第三个选择
有一个方法可以解决以上所述的难题:密码管理工具!市面上有专门用作管理密码的工具,听起来复杂,其实用起来简单,用户只需要设定一组复杂的密码(一般人都能记住一组复杂密码),由这组密码去保护其他密码,密码管理工具储存并在登入账号时替用户填入账号密码,由于全部都经过加密,所以无人可以窥探。
发挥创意:琅琅上口的歌词或语句密码
如果不想倚靠密码管理工具,而又想在比较容易记起的情况下设定高强度密码,这时候用户须发挥创意和想象力。近期有专家提出一种密码设定方法,比定期更改帐号密码更强力和有效,而且密码强度高和容易记,方法的重点与歌词或语句有关,请参考以下的设定步骤:
步骤1:设定静态字符串
- 思考容易记住的歌词或语句,包括英文歌词、金句或诗句。
- 取句子中每个字的头一个字母(至少3至5个字)。
- 在每个字母之间加入特别符号:@/#等等。
以上的步骤将会组成每条高强度密码的基本部分。
步骤2:增强联想力
- 当思考需要密码的帐号时(例如:Facebook、Twitter、eBay、网上银行、网上购物、游戏网站等),写下令你联想到的事物。
- 例如:为Facebook设定密码时,如果联想到标记的蓝色,就简单记下「blue」(可以全大楷)。
結合以上兩個步驟,假設容易記住的歌詞或語句是「I have lived in Hong Kong for 20 years」,中間加入特別符號都是「#」,再加上Facebook的聯想結果,最終的密碼就是「I#H#L#I#H#K#F#2#Yblue」;用戶又可以選擇以獨特密碼「DK#A8b」再加上簡單容易聯想的密碼「teddybear」,組合成高強度密碼 ─「DK#A8bteddybear」。如此一來用戶只要明白密碼的組合機制,就能較容易記住不同帳號的高強度密碼。
查核密码的设定
当大家设定密码后,亦要小心查核密码是否符合以下5点:
- 每条密码至少15个字符,越长越好。
- 字符结合大小楷、数字和符号。
- 密码不要包含个人资料例如:出生日期、出生地、伴侣姓名等资料都有机会从网络上找到,Facebook就是其中一个地方。
- 密码不要使用常见于字典的字词,「字典攻击」是十分常见,使用程式不断尝试就有机会破解。
- 每个帐号使用不同的密码,避免「火烧连环船」。
最后,想提醒大家,当怀疑密码已被破解,须立即更改有关密码。