有鑒於上一篇文章未注意到社交工程問題
補上一篇密碼安全的淺陋文章作為補償各位
密碼,常見主要用途有有種
- 辨識身分
- 加密解密
例如:提款,登入電腦,收發E-mail,手機的PIN碼
但是也有綜合使用辨識身分密碼用來加解密的方式
或是利用身分產生另一組加解密的密碼
也可以單純的在自訂另一組密碼來加解密
例如:EFS(利用身分產生新密碼),RAR加密(自訂新的一組密碼)
這麼多密碼在我們日常生活中出現
到底怎麼樣的密碼才算是一組安全的密碼呢?
大致上我可以提出三點比較淺顯的重點
- 長度要夠
- 內容要夠複雜
- 經常更換
如果說要超過20字以上,更是難上加難
其實字串長度對於安全性影響很大,越長的字串破解時間需要越久
每多增加一個字,破解時間絕對不只是兩倍(以暴力破解法而言)
故長度是我認為重要的一點
內容夠複雜這點常常被忽略,很多人使用單純的英文字小寫或是數字當密碼
例如:sdfdsvoin,348329,這樣的密碼實在是很脆弱,尤其後者
單純數字組合的密碼在暴力破解法之下可以很快速的解決掉
純英文字也不是很健康,最好使用的組合包含三種類型文字在其中
- 大小寫英文
- 數字
- 特殊符號
數字就是0~9這十個阿拉伯數字,特殊符號包含了!@#$%^&*()_+等
綜合這些,我們可以做出一組比較安全的密碼
例如:tH1s!S@bO0k
雖然這是很簡單的句子,但是利用複雜的方式來重新編排過就難猜多了
把上述兩點「長度,複雜」同時應用,將可以大幅提高密碼的安全
例如:t0D@yisA^Eryg0OdD@y!
長度達到了20字,並且複雜度又夠,算是非常安全了!
就算裡面使用了很多常用字,也無妨!
看到這裡大家應該都會抱怨了,沒有人會記得住這種密碼的啦!
所以其實密碼最重要的是,要讓當事人可以用一套自訂的規則來記憶
例如今天上課老師說的例子,手機號碼+e-mail+親人的名字
這樣乍看之下完全都是違背了「勿以身邊資訊作為密碼」的原則
但是如果長度夠,使用的資訊夠多組來組合,其實也不無不可
例如使用五組身邊資訊來組合,這樣長度夠了吧!
還有搭配非英文語系特殊的用法,把國字轉換成自己常用的輸入法
例如:好吃的麵包=>「cl3t 2k7au041l 」
注意,空白字元在密碼中亦可當一個字來使用!
這樣看起來是不是比較簡單了呢?
以下展示一個例子
我住梅花路一段,電話0913345678,E-mail是johocho@haha.com
我選定這三個資訊來做我容易記憶,長度夠,且複雜的密碼
把電話前四碼弄掉得345678
E-mail取前三+@+@後的三個字
地址全部用輸入法方式鍵入
那就變成了
「ao6cj8 xj4u 2j04345678joh@hah」
看似很複雜,但是其實使用者自己心裡很清楚組合方式
而且就算收集了我身邊所有資料,也不容易破解
原因是資料已經重新編排過了,長度也夠,使用了三個資訊
當然一好沒兩好,當我們決定使用夠安全的密碼
我們就要做好心理準備,輸入密碼的時候比較累,要key一串字
這就要在兩者中做取捨了,沒有一定,但是原則絕對是,越長越安全
提醒各位,沒有所謂的永遠安全的密碼
密碼總是會被破解的,差別在於時間長短,所以為了避免這種情況發生
週期性的更換密碼是必要的,並且新密碼跟舊密碼使用的資訊跟編排最好完全無關
這就是我認為安全密碼的第三點,「經常更換」
最後補上一些老生常談的要訣,例如不要把密碼用紙本抄起來
不要只用一組密碼(E-mail,提款卡,登入密碼都一樣還得了!)
注意公眾使用的電腦非必要不要登入(避免密碼側錄)
不要瀏覽、下載、安裝、執行不明的網站、程式
以上是我個人使用上的分享,當然我使用的方式是更麻煩
所以就不贅述了!
備註:
以上所分享的方式比較偏向於 User Friendly
故可能會與下方提供的強式密碼有所衝突,端看使用者如何運用
相關閱讀:
密碼強度檢查程式(Microsoft 提供)
強式密碼
全站熱搜
留言列表
RMRUG's (8)