不要再用生日當密碼了!簡單兩招讓你的密碼安全又方便

不要再用生日當密碼了!簡單兩招讓你的密碼安全又方便
Photo Credit: Psyomjesus, CC BY-SA 4.0
我們想讓你知道的是

在數位時代,你的密碼只會越來越多越麻煩,或許你可以考慮用「保險庫」來保護你的密碼。

文:Gromit Wong

或許你沒料到,被資訊安全業界公認其中一種最弱的保安機制(one of the weakest security mechanisms available ),竟是我們無時無刻都在用的密碼。「最弱」並非指密碼本身易被人破解—如4小寫、4大寫加 2 個數字組成的密碼,運算能力達每秒1000億密碼組合的電腦,仍可能要3.25個月才猜中—而是以密碼形式認證所產生的副作用,反令用戶更不安全。

你想過自己持有多少帳戶嗎?你家和辦公室的電腦、網路銀行、E-Mail、社交網絡、網路商店⋯⋯等等等等,沒上千也該上百,又多又難記,不難想像我們會怎樣應付⋯⋯如 12345678、統一密碼、寫在紙上,說到底因為密碼並非「最友善」的設計,只不過實施成本最低,才一直被沿用。

使用「密碼保險庫」

資安業界(或有可能整個IT業)都想淘汰密碼這機制。但在可見時日,我們仍需與密碼共存,甚至愈來愈多密碼被產生。怎麼辦才好?要沒副作用又令帳戶更安全,並不是沒法子的,只要記着「保險庫」這概念便行:密碼不用記,都放進保險庫,你要記的只是開啓保險庫的「主鑰匙」密碼(master key),當要登入哪個帳戶,便憑主鑰匙開啓保險庫取用密碼。

怎樣做呢?其實市面上已有相關產品,用哪種便看你的需要:

線上密碼管理員:服務商讓你把密碼儲存於他們的伺服器,並提供外掛讓你在不同平台及瀏覽器取用密碼,比如說LastPass、Sticky Password等等,當然也有其他選擇。

假如使用Mac,本身內置的鑰匙圈(keychain)功能其實就是密碼保險庫。

Chrome配合Google帳戶的密碼同步功能:透過登入Google帳戶,把密碼上傳到Google伺服器,於其他裝置的Chrome瀏覽器取用密碼。

當然密碼保險庫的問題是,只要你保險庫被破,所有的密碼也都會外洩,不過這點也可以透過下面提到的雙重認證來加強保護。

你的電子郵件才是「弱點」,請考慮「雙重認證」

現時登記網路服務都會要求輸入email地址。如果你忘記了密碼,你可透過該email地址取回或重設密碼。假如這個帳戶被人入侵,不難想像你登記過的服務也會出事。用作登記的email帳號最好設一個難猜的密碼。怎樣的密碼算難猜?前述例子可作參考,即起碼要4小寫、4大寫、2數字組成共10個字元的密碼。密碼的「安全」程度更取決於長度,因此你應該選用較易記而很長的密碼,而非較短而難記的字詞。

假如你還嫌不夠安全,可考慮使用「雙重認證」(如服務廠商有提供的話)。登入email時,除了輸入密碼,你還會收到手機簡訊,要輸入簡訊內的另一組密碼才能登入。

對於手機,當然也有被入侵的風險,但我認為更易發生的問題是你忘了帶、沒網路或丟失SIM卡。因此使用雙重認證前,要考慮是否容易查閱手機簡訊,又或沒手機時服務商能否提供「後路」。

12345678也不錯

最後想談一下相同和易記密碼的問題。專家們都會勸用戶別用相同密碼於不同帳戶,密碼不要太簡單。想深一層,為不同服務都設一個難記密碼。真有需要嗎?例如訂閱推銷郵件,也要跟你的銀行密碼一樣安全?假如你肯定該服務被人入侵,也不會洩漏你的重要資料或損失金錢,索性用些易記的密碼,只要不和你最重要的帳戶密碼相同,別人知你用12345678又如何。

註1:p192, CISSP All-in-One Exam Guide, 6th Edition

作者簡介:

從事 IT 工作,致力於運用科技和職場改善生活,達至「個人化」。

相關文章:

責任編輯:楊士範
核稿編輯:楊之瑜

或許你會想看
更多『評論』文章 更多『科技』文章 更多『讀者投書』文章
Loader