本文已更新。原文發表於2017年3月27日。
又一天,又一起重大資料外洩事件──又一篇建議你加強密碼的文章出現了。這些秘密訊息就像鑰匙,守護著我們所有重要的線上帳戶,從社交網路到電子郵件收件匣再到銀行帳戶。
這就是為什麼選擇強密碼並妥善管理密碼如此重要。這可能決定你的身分安全還是資訊落入駭客之手。密碼並非你需要考慮的唯一安全措施,但卻是最關鍵的措施之一。
不幸的是,我們很多人都不擅長選擇密碼。我們往往選擇容易記住、因而也容易被猜到的密碼,而且還經常重複使用。如果您想加強個人密碼安全,請繼續閱讀。
最佳密碼實踐
為你的線上帳戶選擇密碼與為秘密社團選擇密碼並無不同:它必須讓成員難以忘記,並且讓任何企圖闖入的人都無法猜到。
如果你使用「123456」或「password」作為密碼,你就是在讓自己身處險境,因為數以百萬計的人也在使用這些顯而易見的組合。這些是大多數駭客首先會嘗試的選項,甚至比「password1」和「passw0rd」還要少。
選擇不易從公開資訊猜到的字母和數字組合也很重要。例如,駭客只需快速瀏覽你的Facebook頁面就能知道你的出生日期,甚至你住的街道地址。因此,即使將這些資訊融入密碼,也無法保證密碼絕對無法破解。
【相關報道:Twitter即將邁向無密碼未來】
另一個最佳實踐是選擇至少 10 個字元長的密碼。密碼越長越好;字母、數字和特殊字元的組合越密集越好;越無意義越好。想想一個只用數字的四位密碼:有 10,000 種可能的組合,但只要再加一位數字,組合數量就增加到 100,000。加入字母和特殊字符,並將密碼擴展到 10 個字符甚至更長,您就能明白每個額外的字母是如何提升密碼安全性的。
那麼,要如何選擇這種神奇的組合呢?安全專家布魯斯·施奈爾建議將一句隨機的句子(而不是名言或短語)作為密碼。例如,“我們喜歡收到奶奶的電子郵件,但她很少寫。”這句話可以變成“Wlge-mfG,bsrw0”,方法是取每個單字的首字母(“e-mail”變成“em”,“o”變成“0”)。這樣就得到了一個包含隨機字母、數字、符號和大量數字的密碼——而且你只需記住整句話就能輕鬆記住它。
當然,既然我已經把這個潛在的密碼寫在了發表的文章裡,它就不再安全了——但你可以用自己的句子輕鬆地實現這個技巧。你也不需要取每個單字的首字母。例如,與其把“love”變成“l”,我也可以把它變成“<3”。施奈爾也舉了一些其他的例子:
- WIw7,mstmsritt… = 我七歲的時候,我姐姐把我的毛絨兔子扔進了馬桶。
- 哇…doestcst = 哇,那沙發聞起來好難聞。
- Ltime@go-inag~faaa! = 很久以前,在一個離我們不遠的星系。
如果您仍然對安全性有所顧慮,許多網路服務會在您建立密碼時告知您密碼強度。它們還會防範「暴力破解」攻擊,也就是攻擊者快速連續嘗試多個密碼。
另一個常見的密碼錯誤是多個帳戶使用相同的密碼。打個比方,這就好比駭客入侵了你所有「俱樂部」的某個安全漏洞,就能同時訪問你加入的所有俱樂部。如果你為主要郵件帳號設定了不同的密碼,那麼即使三年前使用的那個舊帳號被盜,也沒什麼好礙。但如果密碼相同,那就麻煩了。
為了幫助您記住所有帳戶密碼,一個方法是在多個服務中使用同一組隨機或難以猜測的字母和數字組合,但每次都稍作調整。同樣,這樣做的目的是為了方便您記住,但其他人卻猜不到。如果您的 Twitter 密碼是“Wlge-mfG,bsrw0.Twitter”,而您的 Gmail 密碼是“Wlge-mfG,bsrw0.Gmail”,那麼您的帳號安全性並不高。
那麼,如何記住哪個密碼對應哪個帳戶呢?我們強烈建議不要把密碼寫下來,因為這就像把所有線上身分的萬能鑰匙放在同一個地方一樣。幸運的是,還有更安全的方法可以記住所有這些密碼,並盡可能地增強它們的強度。
管理您的密碼
如果你現在擔心自己永遠記不住所有需要記住的密碼,別慌——我們有辦法。你的瀏覽器自備一些基本的密碼管理功能,可以減輕你大腦的負擔,你也可以選擇升級到獨立的密碼管理器。
首先,最好給所有帳戶啟用兩步驟驗證。這相當於增加了一層額外的安全保護,讓你的密碼不再那麼重要,因為只有結合驗證碼(通常會發送到你已驗證的手機號碼)才能使用密碼。這就像進入你的秘密俱樂部,除了密碼還需要門票一樣。從谷歌到臉書,大多數線上帳戶都支援兩步驟驗證。
大多數瀏覽器預設都包含密碼管理選項,例如 Google Chrome、Mozilla Firefox 和 Microsoft Edge。您可能已經透過彈出視窗看到這些選項,詢問您是否希望瀏覽器記住密碼。這些密碼通常可以在不同的電腦之間同步,這樣您就無需每次都記住登入資訊了。
【相關閱讀:你應該開始使用密碼管理器】
只要你的瀏覽器安全,這些功能就夠安全。否則,任何人只要打開你的瀏覽器,只需點擊幾下滑鼠就能存取你的帳戶。實際上,這意味著你需要確保在 Windows 和 macOS 系統上都設定了密碼保護的使用者帳戶,這樣就能有效防止他人存取你的密碼快取。
為了更全面地管理您的密碼,請安裝一個專門的密碼管理器程式。這類應用程式(市面上有許多選擇)可以跨多台電腦和行動裝置儲存您的密碼,而且通常還能幫助您設定強密碼。與手寫的密碼清單不同,密碼管理器中的所有內容都會被加密,並使用一個主密碼進行保護。
大多數密碼管理器都是免費使用的,但高級功能需要付費。為了進一步增強安全性,它們通常還支援雙重驗證服務。許多密碼管理器也會幫你儲存其他敏感資訊,例如 Wi-Fi 密碼、信用卡號等等。
在網路上很容易找到密碼管理器的評測和群組測試,但 LastPass 是其中規模最大、口碑最好的服務之一。它允許你在多個裝置上管理無限數量的密碼,每月只需 3 美元即可獲得額外功能(例如更多註冊的行動裝置和優先支援)。
另一個不錯的選擇是 1Password,它並非免費,但提供免費試用。單人用戶每月只需支付 3 美元,即可在所有裝置上無限量儲存密碼;家庭套餐每月 5 美元。在選擇合適的密碼管理器時,我們也建議您了解 Dashlane 和 Keeper。
