你的密碼夠懶嗎?
當有網站帳號密碼被駭帳密被公布在網路上的時候,事後常會有一份「懶人密碼表」公布,如果沒有意外的話「123456」這種一猜就中的密碼還是有一大堆人在用!
而現實的生活當中你所用的密碼呢?我想絕大部份的人會有一個很致命的習慣:所有網站密碼設定成同一組,所以當有其中的一個帳號被竊之後,駭客也就順手可以取得你所有服務的控制權
這也就是先前提到Dropbox密碼外洩的原因
你的密碼夠強嗎?
並不是使用者將資安專家的警告充耳不聞,而是對一般人而言,要設定一組「複雜又易記的密碼」實在是難度很高的!
我們常見對於密碼的建議不外乎:
- 不要用你的名字,地址、出生年月日、電話號碼或身分證字號當密碼
- 不要用大家知道或是字典查得到的單字
- 密碼的字數要夠多(至少10碼)
- 要包含數字、大小寫英文字以及!@#$%^&*()這些特別符號
- 最好每個網站的密碼都不一樣
所以有人建議要用這電腦跑出來的隨機密碼:
這種密碼記得住才有鬼!
但是為了你自己的資訊安全,一家要有一套編碼規則,這一套規則要讓你在不同的網站用不同的密碼,而且要很容易記(對你而言),因為這些看似凌亂的字母和數字後面是有一些意義的
都是機率的問題
或許有人會問密碼為什麼要這樣設?答案很簡單:複雜的密碼才不容易被猜到,不管是用人或是用程式都一樣
我們現在來看看不同的數字字母組合被猜中的機率
- 0-9數字:1/10
- a-z小寫字母:1/26
- A-Z大小寫混合字母:1/52
- 0-9數字加a-z大小寫字母:1/62
- 0-9數字加a-z大小寫字母加~-+特殊符號:1/94
以上是單一字母的機率,如果使用4位密碼的話,機率就是1/(94*94*94*94)=1/78074896
而相同位數的密碼如果只用0-9數字的話,機率降為:1/(10*10*10*10)=1/10000
這兩者的差別夠大吧?這樣子計算之後你還敢用只有數字的密碼嗎?
不是我不想用,實在是因為記不住
如果你是因為這樣而使用簡單密碼的話,就參考我的方法吧!
首先我們把密碼分成「123」、「abc」、「456」像這樣三組,而這三組面有兩組是自己想出來不要跟你有任何關聯的數字,我的例子是三位數,如果可以的話加到四位數或五位數會更好(其實跟你有關也沒有關係,因為是兩組)
而英文字這一組則是用取網站英文字來用,你可以取前面三個字母,後面三個字母,甚至是前中後三個字母。這樣的好處是你看到網站的網址或名稱就可以解出第二組的字母組合,完全不用背!
所以初級的密碼將會像這樣:
為什麼會分成三組呢?因為這樣子又可以分別組合成8種,你自己挑其中的一種來用就很強了!
由以上的概念延伸,數字的部份不變,但是字母加上大小寫的變化,也就是說三個字母有一個大寫兩個小寫或是一個小寫兩個大寫,還是跟網站各稱有關,這樣還是很好記!
最後再將三組數字字母用特殊符號串起來,這樣子前面提到的密碼要求都有了,而且重點是很好記
圖片中的數字跟字母只是給你靈感的,照著這個概念你就可以變化出無敵的密碼
至於有人說用中文輸入的英文來當密碼也很強,我個人對這個是持保留的態度,因為只要人家知道是是用中文輸入當密碼的,那就有猜測的方向,而且這樣子的密碼強度也只在中等而已(因為沒有大小寫混用)
而我這一套公式最強的地方就是不同的網站密碼都不一樣,而且保證都記得住
我的密碼設計跟大大這篇文章很類似, 也是使用該網站的名稱當做密碼的一部分, 再加上一些固定的班底,使用起來真的很好記, 也比較安全.
這也不是我獨創的,是在網路上看到類似的規則變化而來的,重點是真的很實用
密碼再強遇到這種客服大概也沒用
http://www.ithome.com.tw/itadm/article.php?c=75368
我對那位自稱的專家說法持保留的態度
真相或許不是你目前看到的這樣,到底準不準就等進一步的發展
最新的發展是從Amazon下手的
http://www.ithome.com.tw/itadm/article.php?c=75418
不過這兩家可以讓客戶打電話改這些資料未免也太奇怪了?
記密碼還是交給程式吧.
AI ROBOFORM不錯用.
那又是另一個議題了,有一個料我已經憋好久了,或許哪天會爆出來
期待您針對AI Roboform的大作.
網路時代,改變人的生活方式,但如何避免網路的風險,再麻煩高登大大開示.
有人曾經建議
用中文詞彙去打出的數字英文密碼
可以增加密碼難度
像是
蘋果 => qup6eji3
或
豬排咖哩炒麵 =>5jq96e8xu3tl3au04
之類的 既有規則 又不易猜出
這個我文章最後有說明,強度還不夠
另外我們的需求是每個網站的密碼不同,你說的方法可以看到網站就打出密碼嗎?
這樣會不會好一點?
孤狗密碼:EJ E>#au4a83
雅虎密碼:U*#CJ#au4a83
M$N密碼:M$Nau4a83
(孤狗 => ej e.3 => EJ E># )
不錯呀!
不知道耶, 但是我有一點持保留態度.
這樣的密碼夠隨機, 但是也有規律可尋.
我覺的好的密碼要隨機, 而且也要沒有規則可尋.
比如說電腦的亂數表, 它很隨機
, 但是由於有規則可尋, 不能算是真正的隨機.
感謝版主分享的密碼設定法則
但密碼管理工具如KeePass Password Safe,是免費開放原始碼軟體,除了記憶帳號密碼,用來快速填入帳密真的非常方便,但有個疑問就是開放原始碼軟體比起那些要付費軟體的安全性真的較高嗎? 謝謝
不知道你是從哪裡聽來說開源的比較安全?
這不是開源訴求的重點,而且也是不對的說法
另外我反問你一個問題:你記得你常打的電話號碼嗎?
太依賴科技的後果有時候會很慘,如果你手機曾掉過就會同意我的說法
所以就算是你要用程式來幫你打密碼,至少你自己也要記得住密碼是什麼才好吧?
謝謝你的方法,真實用。
有一段時間經常有人攻擊我fb,害得我把密碼愈改愈長,最極端時有30字以上,包含我的名字、喜歡的事物、數字等一堆東西大雜燴,雖然還記得密碼,但幾乎每次都打錯,因為真的太長了啊…你的方法比單是增加字數更有效,而且也不太難記。(用密碼生成器生出來的密碼真的記得住才有鬼…)