或許你沒料到,被聲息安全業界公認其中一種最弱的保安機制(one of the weakest security mechanisms available ),竟是大家無時無刻都在用的密碼。「最弱」並非指密碼本身易被人破解—如4小寫、4大寫加 2 個數字合成的密碼,運算水平達每秒1000億密碼組合的電腦,仍或許要3.25個月才猜中—而是以密碼形式認證所重現的副演化,反令用戶更顧慮全。
你想過自己持有多少帳戶嗎?你家和辦公室的電腦、網路銀行、E-Mail、社交網絡、網路商店⋯⋯等等等等,沒上千也該上百,再度多再度難記,不難想像我們會怎樣盡量付⋯⋯如 abcd1234、統一密碼、寫在紙上,說畢竟因為密碼並非「最友善」的設計,性功能,只反之實施價格最低,才持續被沿用。
拿「密碼保險庫」
資安業界(或有儼然全盤IT業)都想淘汰密碼這機制。但在所以時日,大家仍需與密碼共存,益發愈來愈多密碼被顯見。何等辦才好?要沒副不同重新令帳戶更安全,並不是沒法子的,只要記着「保險庫」這觀念便行:密碼不用記,都放進保險庫,你要記的但是開啓保險庫的「主鑰匙」密碼(master key),當要登入哪個帳戶,便憑主鑰匙開啓保險庫取用密碼。
怎樣做呢?其實市面上已有相關產品,用哪種便看你的務求:
線上密碼看管員:賣命商讓你把密碼儲存於他們的伺服器,並建議外掛讓你在作用平台及瀏覽器取用密碼,假如說LastPass、Sticky Password等等,定準也有其他定案。
不然使用Mac,本身內置的鑰匙圈(keychain)功用其實那怕密碼保險庫。Chrome配合Google帳戶的密碼同步效用:行經登入Google帳戶,把密碼上傳到Google伺服器,於其他設備的Chrome瀏覽器取用密碼。一準密碼保險庫的困惑是,只要你保險庫被破,完全的密碼也都會外洩,然而這點也容許轉道下面提到的雙重認證來提升保護。
你的電子郵件才是「弱點」,請思慮「雙重認證」
現時登記網路投效都會謀求輸入email地址。假如你忘記了密碼,你可穿過該email地面取回或重設密碼。大概這個帳戶被人入侵,不難想像你登記過的效命也會出事。用作登記的email帳號應該設一名難猜的密碼。怎樣的密碼算難猜?前述成規可作參考,即起碼要4小寫、4大寫、2數字合成共10個字元的密碼。密碼的「安全」程度更取決於長度,就此你恐怕選用較易記而很長的密碼,搬家,而非較短而難記的字詞。
也許你還嫌短缺安全,可計算拿「雙重認證」(如服務廠商有倡導的話)。登入email時,除了輸入密碼,你還會收到手機簡訊,要輸入簡訊內的另一組密碼功力登入。相對手機,定然也有被入侵的風險,但我作為更易發生的疑問是你忘了帶、沒網路或丟失SIM卡。以至利用雙重認證前,要思慮是否容易基於手機簡訊,又或沒手機時服務商能否倡導「後路」。
abcd1234也不錯
末尾想談一下仍然和易記密碼的疑難。專家們都會勸用戶別用照舊密碼於對換帳戶,密碼不要太簡單。想深一層,為輪換效勞都設一位難記密碼。真有力求嗎?比如訂閱推銷郵件,也要跟你的銀行密碼同等安全?可能你勢必該賣命被人入侵,也不知洩漏你的重要資料或減少金錢,索性用些易記的密碼,只要不和你最重點的帳戶密碼照舊,別人知你用abcd1234再度何等。
