確保帳戶安全,定期變更密碼省不得~
文章出處:http://plog.tcc.edu.tw/post/1214/70075
隨著網路上提供的服務越來越多,我們必須透過不同的帳號及密碼來登入這些網路服務,但是不少使用者因為方便,常會使用同一組密碼來存取不同網站,甚至使用跟自己相關的資料(如生日、電話、證件號碼…)來當成密碼,一旦被他人透過社交工程或暴力破解法等方式入侵之後,連帶的其他網路服務也可能一起遭殃。因此我們需要強迫自己定期變更常用的密碼,讓不肖人士難以入侵,在這篇文章中,阿正老師就來介紹一些加強密碼安全性的小技巧,如果你還在用簡單或萬年密碼,不妨來來看看下面的介紹吧!
一、為什麼需要定期變更密碼
隨著越來越多的服務開始「雲端」化,我們常需要透過帳號及密碼的認證機制來登入網路的服務之中,像是電子郵件、網路銀行、網路購物…等,不過許多人為了貪圖方便,常會使用簡單好記的密碼,例如生日、電話、證件號碼…。
但是隨著網路頻寬的加大,有些不肖人士開始使用一些木馬或蠕蟲騙取你的密碼,或透過暴力破解的方式來不斷嘗試破解,因此常常會聽到有人帳號被盜用的情況發生。帳號一旦被他人盜用後,輕者個人資料外洩,嚴重的話還有可能被別人拿去在拍賣網站上販賣假商品,讓你背黑鍋吃官司,因此不得不小心。
即使密碼的強度不夠,我們還是可以透過建立定期變更密碼的習慣,讓密碼被破解或盜用的可能性降低,雖然麻煩了一點,跟帳號被盜用之後造成的損失比較起來,多付出點心思設定一組安全的密碼是相當值得的。
Brute force(暴力破解法),是一種能將所有的排列組合來測試攻擊的一種破解方法。比如說你用5個數字當作密碼,暴力破解法就使用10的5次方(10萬)種組合來嘗試破解,直到破解為止。
二、多久要更換一次密碼?
一般來說變更密碼的間隔時間並沒有一定的規範,要看該密碼使用的用途而定。如果是設計有防暴力破解的網站登入系統(例如需輸入圖片認證碼、錯誤幾次後鎖住帳號…),大約兩三個月更換一次就可以了。如果是沒有防暴力破解機制的網站,更新密碼的頻率就要頻繁一點,可能數週到一個月就必須更新一次。
如果你的密碼是用在較重要或機密的用途,則密碼的變更頻率當然要更高,才能更有效確保該帳號的安全性。
三、要怎麼設定密碼較安全?
密碼的設定其實沒有一定的準則,基本上只要是長度越長,複雜度越高就越安全,所以設定密碼時最好是選用大小寫英文字母、數字、及符號混合而成的密碼是最難破解的,如果使用一般的數字、或是字典中會出現的英文單字,則相當容易被他人以暴力破解法來破解。
另外當我們在輸入或設定密碼時,為了避免被他人以惡意的鍵盤側錄軟體竊取你的帳號及密碼(尤其是在外面的公用電腦),可以開啟Windows內建的「螢幕小鍵盤」,透過滑鼠點擊配合鍵盤輸入的方式防止密碼被輕易竊取。「螢幕小鍵盤」執行的方式相當簡單,只要按下Windows的〔開始〕按鈕→選擇【執行】(或直接按鍵盤的〔Windows鍵〕+〔R〕),輸入 osk 再按下〔Enter〕就會出現螢幕小鍵盤視窗了。
四、產生高安全性的密碼:
要如何產生一組高強度的密碼呢?你可以試試看 http://randomkeygen.com/ 這個線上密碼產生器。
這個網站提供了多種強度的隨機密碼,從一般英數字混合的標準密碼,到混合符號的高強度密碼,甚至是多達30個字元的超高強度密碼,只要按下〔F5〕重新整理一次網頁,就會出現不同的密碼組合。
如果你覺得這個網站產生出來的密碼很難記,那可以試試看另一個http://strongpasswordgenerator.com/ 線上密碼產生器。你可以自己選擇要產生幾個字元的密碼,並勾選是否要包含符號,按下〔Generate password〕就可以產生一組隨機密碼了。
產生出來的密碼下面還會顯示容易記憶的口訣,例如gDh7Feh就可以記成:「google DISNEY harry 7 FIREFOX elvis harry」,是不是比較容易記住呢?
五、建立自己的密碼卡
如果你嫌密碼都是又臭又長的英數字跟符號太難背,可以試試看阿正老師推薦的這個密碼卡產生器的網站:http://www.passwordcard.org/zh
連上該網站後,右邊的「序號」欄位中會隨機產生一組8個bytes(16個進位的數字)數值的序號,你可以自由修改這個序號產生不同的密碼卡,但請務必將序號記起來(抄在紙上也沒關係,因為別人知道了也沒用),然後用印表機(最好是彩色的)將這個網頁列印下來,再把畫面右下角的密碼卡剪下來,放在你的皮夾中(大小剛好是一張信用卡或證件的大小,最好能護貝起來)。
從該密碼卡中隨機挑選一個好記的顏色跟符號(顏色是縱座標、符號為橫座標)當成起點,再選擇一個閱讀的方向(可以是右→左、左→右,上→下,下→上,甚至是斜向)及密碼的長度(最好8碼以上)來挑選出密碼,等到下次要更換密碼時,再依照自己設定的規格跳到下一欄或列來找出新的密碼就可以了,不但安全而且密碼的強度也夠,即使別人偷到了你的密碼卡,也無法得知你的密碼藏在哪。
如果不小心遺失了這張密碼卡怎麼辦?沒關係,只要再連上這個網站,在序號處輸入你原本的卡片序號,就可以產生一張完全相同的密碼卡了。
六、測試自己的密碼夠不夠安全
想測試一下自己選用的密碼夠不夠安全嗎?可以試試看http://password.mx500.com/這個碼強度檢查網站。
只要在「待測密碼」的欄位中輸入自己想測試的密碼,該網站就會以一定的規則來判斷該密碼的強度分數,例如混合了大小寫英文字元、數字及符號的密碼分數就會比較高,如果密碼中有重複或是有連續的英數字(如abc, 123)則會扣分,輸入密碼後會即時顯示該密碼的得分及評語,做為你選定密碼的參考。
七、不要把多個網站的密碼設成同一組
不少使用者為了省事,常會將不同網站的帳號跟密碼設成同一組,萬一某一個網站的密碼被破解了,其他的網站就會連帶被入侵。
為了方便記憶不同的網站所使用的密碼,我們可以借助一些免費的密碼管理軟體,例如KeePass、LastPass、ALPass、Roboform…等,這些軟體的特點就是能以加密的方式儲存你常用的密碼,然後設定一組強度夠高的密碼當作管理密碼。
所以當你在變更不同網站的密碼後,只要順便修改密碼管理軟體裡面的密碼,就可以自動幫你記住,而且儲存起來的密碼還可以儲存到USB隨身碟或是透過網路來同步,即使在不同電腦也能輕鬆、安全地存取這些密碼。
密碼管理軟體官方網站:
- KeePass Password Safe:http://keepass.info
- LastPass:https://lastpass.com/
- ALPass:http://www.altools.com/ALTools/ALPass.aspx
- Roboform:http://www.roboform.com/
上一篇:[筆記]系統開發過程
好舊的觀念。
可以自己去搜尋一下「三個月更換一次密碼」。