隨著網路上提供的服務越來越多,我們必須透過不同的帳號及密碼來登入這些網路服務,但是不少使用者因為方便,常會使用同一組密碼來存取不同網站,甚至使用跟自己相關的資料(如生日、電話、證件號碼…)來當成密碼,一旦被他人透過社交工程或暴力破解法等方式入侵之後,連帶的其他網路服務也可能一起遭殃。因此我們需要強迫自己定期變更常用的密碼,讓不肖人士難以入侵,在這篇文章中,阿正老師就來介紹一些加強密碼安全性的小技巧,如果你還在用簡單或萬年密碼,不妨來來看看下面的介紹吧!
阿正老師在上回的資安週文章:《網路下載別隨便,資訊安全有保障》中,介紹了關於網路下載的注意事項,今天要介紹的資訊安全的另一項重要概念–定期變更密碼,讓你在使用網路服務時能更加安全。
2010全民資安週網站:http://cybersecurity.tw
全民資安週Facebook專屬粉絲網頁
一、為什麼需要定期變更密碼
隨著越來越多的服務開始「雲端」化,我們常需要透過帳號及密碼的認證機制來登入網路的服務之中,像是電子郵件、網路銀行、網路購物…等,不過許多人為了貪圖方便,常會使用簡單好記的密碼,例如生日、電話、證件號碼…。
但是隨著網路頻寬的加大,有些不肖人士開始使用一些木馬或蠕蟲騙取你的密碼,或透過暴力破解的方式來不斷嘗試破解,因此常常會聽到有人帳號被盜用的情況發生。帳號一旦被他人盜用後,輕者個人資料外洩,嚴重的話還有可能被別人拿去在拍賣網站上販賣假商品,讓你背黑鍋吃官司,因此不得不小心。
即使密碼的強度不夠,我們還是可以透過建立定期變更密碼的習慣,讓密碼被破解或盜用的可能性降低,雖然麻煩了一點,跟帳號被盜用之後造成的損失比較起來,多付出點心思設定一組安全的密碼是相當值得的。
Brute force(暴力破解法),是一種能將所有的排列組合來測試攻擊的一種破解方法。比如說你用5個數字當作密碼,暴力破解法就使用10的5次方(10萬)種組合來嘗試破解,直到破解為止。
二、多久要更換一次密碼?
一般來說變更密碼的間隔時間並沒有一定的規範,要看該密碼使用的用途而定。如果是設計有防暴力破解的網站登入系統(例如需輸入圖片認證碼、錯誤幾次後鎖住帳號…),大約兩三個月更換一次就可以了。如果是沒有防暴力破解機制的網站,更新密碼的頻率就要頻繁一點,可能數週到一個月就必須更新一次。
如果你的密碼是用在較重要或機密的用途,則密碼的變更頻率當然要更高,才能更有效確保該帳號的安全性。
三、要怎麼設定密碼較安全?
密碼的設定其實沒有一定的準則,基本上只要是長度越長,複雜度越高就越安全,所以設定密碼時最好是選用大小寫英文字母、數字、及符號混合而成的密碼是最難破解的,如果使用一般的數字、或是字典中會出現的英文單字,則相當容易被他人以暴力破解法來破解。
另外當我們在輸入或設定密碼時,為了避免被他人以惡意的鍵盤側錄軟體竊取你的帳號及密碼(尤其是在外面的公用電腦),可以開啟Windows內建的「螢幕小鍵盤」,透過滑鼠點擊配合鍵盤輸入的方式防止密碼被輕易竊取。「螢幕小鍵盤」執行的方式相當簡單,只要按下Windows的〔開始〕按鈕→選擇【執行】(或直接按鍵盤的〔Windows鍵〕+〔R〕),輸入 osk 再按下〔Enter〕就會出現螢幕小鍵盤視窗了。
四、產生高安全性的密碼:
要如何產生一組高強度的密碼呢?你可以試試看 http://randomkeygen.com/ 這個線上密碼產生器。
這個網站提供了多種強度的隨機密碼,從一般英數字混合的標準密碼,到混合符號的高強度密碼,甚至是多達30個字元的超高強度密碼,只要按下〔F5〕重新整理一次網頁,就會出現不同的密碼組合。
如果你覺得這個網站產生出來的密碼很難記,那可以試試看另一個http://strongpasswordgenerator.com/ 線上密碼產生器。你可以自己選擇要產生幾個字元的密碼,並勾選是否要包含符號,按下〔Generate password〕就可以產生一組隨機密碼了。
產生出來的密碼下面還會顯示容易記憶的口訣,例如gDh7Feh就可以記成:「google DISNEY harry 7 FIREFOX elvis harry」,是不是比較容易記住呢?
