換新版面
先試看看吧

有鑒於上一篇文章未注意到社交工程問題

補上一篇密碼安全淺陋文章作為補償各位


密碼,常見主要用途有有種
  1. 辨識身分
  2. 加密解密
我們經常使用手來輸入的算是第一種較多
例如:提款,登入電腦,收發E-mail,手機的PIN碼
但是也有綜合使用辨識身分密碼用來加解密的方式
或是利用身分產生另一組加解密的密碼
也可以單純的在自訂另一組密碼來加解密
例如:EFS(利用身分產生新密碼),RAR加密(自訂新的一組密碼)

這麼多密碼在我們日常生活中出現
到底怎麼樣的密碼才算是一組安全的密碼呢?
大致上我可以提出三點比較淺顯的重點
  1. 長度要夠
  2. 內容要夠複雜
  3. 經常更換
長度要夠這個問題經常困擾使用者,畢竟人腦記憶長字串有困難
如果說要超過20字以上,更是難上加難
其實字串長度對於安全性影響很大,越長的字串破解時間需要越久
每多增加一個字,破解時間絕對不只是兩倍(以暴力破解法而言)
故長度是我認為重要的一點

內容夠複雜這點常常被忽略,很多人使用單純的英文字小寫或是數字當密碼
例如:sdfdsvoin,348329,這樣的密碼實在是很脆弱,尤其後者
單純數字組合的密碼在暴力破解法之下可以很快速的解決掉
純英文字也不是很健康,最好使用的組合包含三種類型文字在其中
  • 大小寫英文
  • 數字
  • 特殊符號
一般來說大寫不等於小寫,當然主要還是看驗證系統而定
數字就是0~9這十個阿拉伯數字,特殊符號包含了!@#$%^&*()_+等
綜合這些,我們可以做出一組比較安全的密碼
例如:tH1s!S@bO0k
雖然這是很簡單的句子,但是利用複雜的方式來重新編排過就難猜多了

把上述兩點「長度複雜」同時應用,將可以大幅提高密碼的安全
例如:t0D@yisA^Eryg0OdD@y!
長度達到了20字,並且複雜度又夠,算是非常安全了!
就算裡面使用了很多常用字,也無妨!

看到這裡大家應該都會抱怨了,沒有人會記得住這種密碼的啦!
所以其實密碼最重要的是,要讓當事人可以用一套自訂的規則來記憶
例如今天上課老師說的例子,手機號碼+e-mail+親人的名字
這樣乍看之下完全都是違背了「勿以身邊資訊作為密碼」的原則
但是如果長度夠,使用的資訊夠多組來組合,其實也不無不可
例如使用五組身邊資訊來組合,這樣長度夠了吧!
還有搭配非英文語系特殊的用法,把國字轉換成自己常用的輸入法
例如:好吃的麵包=>「cl3t 2k7au041l 」
注意,空白字元在密碼中亦可當一個字來使用!
這樣看起來是不是比較簡單了呢?
以下展示一個例子

我住梅花路一段,電話0913345678,E-mail是johocho@haha.com
我選定這三個資訊來做我容易記憶,長度夠,且複雜的密碼
把電話前四碼弄掉得345678
E-mail取前三+@+@後的三個字
地址全部用輸入法方式鍵入
那就變成了
「ao6cj8 xj4u 2j04345678joh@hah」

看似很複雜,但是其實使用者自己心裡很清楚組合方式
而且就算收集了我身邊所有資料,也不容易破解
原因是資料已經重新編排過了,長度也夠使用了三個資訊
當然一好沒兩好,當我們決定使用夠安全的密碼
我們就要做好心理準備,輸入密碼的時候比較累,要key一串字
這就要在兩者中做取捨了,沒有一定,但是原則絕對是,越長越安全

提醒各位,沒有所謂的永遠安全的密碼
密碼總是會被破解的,差別在於時間長短,所以為了避免這種情況發生
週期性的更換密碼是必要的,並且新密碼跟舊密碼使用的資訊跟編排最好完全無關
這就是我認為安全密碼的第三點,「經常更換

最後補上一些老生常談的要訣,例如不要把密碼用紙本抄起來
不要只用一組密碼(E-mail,提款卡,登入密碼都一樣還得了!)
注意公眾使用的電腦非必要不要登入(避免密碼側錄)
不要瀏覽、下載、安裝、執行不明的網站、程式

以上是我個人使用上的分享,當然我使用的方式是更麻煩
所以就不贅述了!


備註:
以上所分享的方式比較偏向於 User Friendly
故可能會與下方提供的強式密碼有所衝突,端看使用者如何運用

相關閱讀:
密碼強度檢查程式(Microsoft 提供)
強式密碼

rmrug 發表在 痞客邦 PIXNET 留言(6) 人氣()


留言列表 (6)

發表留言
  • vicki
  • 密碼學
    哈哈哈
    3939889
    亂入XD~~
  • rmrug
  • To Vicki:
    科科科~ 密碼學超難~ 那是神的領域~

    話說,我文章中的方法千萬別單獨使用
    綜合使用才有安全性喔!
  • vicki
  • 哈哈哈,我知道啦~安心
    讓人摸著腳底板還是猜不到
  • C.M.
  • 可以加上ASCII Code 128~255的字元, 按住Alt+Code, ex: Alt+234=ê
    一般人打不出來,有些比較簡易的暴力破解不會去算這些字元.
    不然密碼加中文字元,增加複雜度,也增加語言障礙.
  • rmrug
  • To Vicki:
    哈哈,摸著腳底板也猜不出來的密碼,真的很安全!

    To Hans:
    所以才要導Certificate呀~
    像自然人憑證之類的,再加上生物辨識
    就可以盡量簡化密碼了

    To CM:
    特殊符號的確可以增加困難度
    但是中文的部份就要看該系統支不支援囉