[全民瘋資安] 拒絕破解,密碼安全知多少

-

「密碼」,看起來是一個讓人挺放心的名詞,但是它又卻常常變成最令人害怕的東西。雖然只是短短的兩個字,但是這其中卻隱藏著大大的玄機!有個好密碼,讓你上天堂;使用爛密碼,讓你住套房……都……不……夠!

在網路上,無論你使用的是個人信箱、噗浪、Facebook還是其他拉哩拉雜的服務,在進入取得自己的個人資料之前,網站都會要求我們輸入密碼,密碼的重要性可見一班。但是某某的相簿被破解,導致私密照片流出這類的消息在網路上卻又層出不窮,究竟密碼要怎麼使用才會安全呢?在這次的「全民瘋資安」系列文章,我們就來與大家分享我們對於「密碼」的一些想法。在文章中我們也會陸續介紹一些好用的工具以及產生超難猜、超好記的密碼的撇步,GO!!

關於「全民資安週」

在本文開始之前,還是要推廣一下資策會目前正在舉辦中的「2010 全民資安週」。今年資安週的主題設定是:「上網金三好,資安沒煩惱」。阿到底是怎麼樣才算好?

  1. 好好去上網 (說真的這個標題有點難聯想)
    標語這樣下一定有人看不懂,那叫用白話一點的方式來說吧!就是:

    1. 不是合法的東西,別抓!
    2. 不該做的事,別做!
    3. 不是你的東西,別看!
    4. 不是你的相簿,別猜!
    5. 以上幾點有違者,請自行……………………處理。
  2. 好好做更新
    網路上各種威脅每天都在更新,身為電腦主人的你,難道不應該跟邪惡勢力抗衡嗎?無論是作業系統、防毒軟體或是一般工具程式都會隨時推出更新檔修補漏洞,大家一定要準時更新呀!謎之音:站大……..啊…….我用的是謎版的 XD、Qffice 捏 ….. 更新會被抓包捏!!
    硬站:哩賣ㄍㄟˋ!網路上大大這麼多,隨便問一下都有解法! 給我乖乖的裝….
  3. 好好用電腦
    再好、再嚴密的安全措施,都敵不過一個最終的殺手,那個殺手….就是「人」。現在很多病毒或詐騙訊息都經由隨身碟或者大家每天在用的 MSN 等即時通訊軟體傳播,因為通常大家對這些媒介的戒心比較低,也容易成為有心人下手的對象。

2010全民資安週官網

2010全民資安週 Facebook 粉絲團

活生生的案例

密碼被破解的新聞時有所聞,以下我們節錄自資安之眼的一段文章

【駭客套密碼 裸照看光光】

判決書指出,廿五歲的陳禹廷經常在家裡利用「即時通」軟體與網友聊天,遇有聊得來的女網友,就會與對方互留帳號加入好友,與網友熟識後還會互留個人生日、電話或住址等基本資料,作為聯繫用。陳從九十六年三月間起,利用這種方式蒐集網友的相關資料。

陳禹廷利用網友懶得設定特殊密碼的特性,開始以網友的生日等數字來猜測對方的即時通或無名小站相簿密碼,結果有八名網友的無名小站相簿密碼遭破解。…

不曉得你有什麼感想呢?在這邊請大家先思考一下究竟這問題出在哪,後面的文章我們接著介紹。

設定密碼的6大禁忌

看完前面的新聞,相信大家應該知道這位女網友的密碼是如何被破解的。那,設定密碼的時候到底有什麼需要注意的呢?[全民瘋資安] 拒絕破解,密碼安全知多少 image

  1. 禁!以個人資料作為密碼
    個人資料包含生日、身分證號、電話等等資料,許多人為了方便記憶,會使用這些資料當作密碼,但是這些資料通常比起其他的密碼還容易取得,所以萬萬不得啊!
  2. 禁!生活周遭常碰到的字眼
    公司(學校)名稱、品牌名稱、產品型號、藝人、男(女)朋友英文名也都是認識你的人能夠容易取得的資料。
  3. 禁!以帳號作為密碼
    有些人會用帳號作為密碼,例如帳號為「soft4fun」,密碼就取「soft4fun1234」這樣,也是萬萬不得!
  4. 禁!看似難以破解但卻很容易被猜到的組合
    鍵盤上的「qwerty」或「qweasdzxc」這種組合看起來沒有規則,但其實是有跡可循。
  5. 禁!以「純」數字做為密碼
    也就是整串密碼裡面沒有半個文字。80% 以上的人應該有使用過這樣的密碼,但是對於密碼破解的程式來說,這種密碼通常是最快被破解的,因為排列組合的數量太少,破解程式只要一一嘗試,很快就可以試到正確的密碼。
  6. 禁!在密碼提示明確指明密碼
    曾經看過有人在無名相簿的密碼提示上提示「猜」,於是我隨手打了「guess」,很幸運的……被我猜到XD!…. 所以千萬別”直接”把密碼寫在密碼提示裡面。

密碼提示的重要性

密碼提示雖然可以提醒你忘記的密碼,但是如果提示得太明顯的話,就會像前面的案例一樣,說好的提示,最後卻變成密碼公告,除了殘念,我也不曉得該如何形容相簿作者的感想。

當然,密碼提示對於同時擁有許多組密碼的人來說,是一個不可或缺的提示機制,但是必須要搭配另一個密碼的「編碼」機制,我們接下來會說到。

「超難猜、超好記」的密碼要怎麼產生?

如果問起「要怎麼產生一個不容易被猜到的密碼?」,一定會有人回答:「用密碼產生器啊!」好,那我們就來產生一下密碼…….

第一組:uxotaraf
第二組:awosixis
第三組:secoluby
第四組:laqulofu
第五組:cybipexo
第六組:xynaxuvu
第七組:qupifypa

我們隨便產生了7組密碼,試問自己:明天睡醒後我還記得這組密碼嗎?

其實,要產生複雜難猜的密碼不難,而且是非常非常的簡單!各位每天在打字的時候,其實就是打了一堆的密碼,有發現嗎?舉幾個例子看看就知道了:

當我輸入「密碼」的時候,其實是按下了鍵盤的「au4a83」這幾個英文數字鍵;
當我輸入「複雜密碼」的時候,其實是按下了鍵盤的「zj4y86au483」;
當我說入「追風箏的孩子」的時候,是按下了「5jo z/ 5/ k27c96y7」!

其實你想的是中文,只是當你用了熟悉的輸入法以後,產生出來的密碼複雜度都會不一樣。而且透過這樣子的密碼產生方式,要產生出「英文+數字+符號」或者「10個字元」以上的密碼基本上是不費吹灰之力的!密碼產生器?那是什麼東西? 忘了它吧~~

密碼產生器

網站名稱:強大的密碼發生器(Strong Password Generator)
網站網址http://4fun.tw/k3vz

[全民瘋資安] 拒絕破解,密碼安全知多少 038a25439864

密碼產生器的工作原理,其實就是透過亂數的概念,隨機選取英文A-Z, a-z 以及數字0~9以及一些符號進行字串的排列組合。

在這個密碼產生器中,只要輸入要產生的「密碼長度」以及「密碼數量」,並按下[產生密碼]按鈕就能產生出隨機的密碼。密碼產生器產生出來的密碼雖然對電腦來說相對難猜,但是對人腦的記憶能力也是一大考驗,所以如非得以,千萬別跟自己的腦袋瓜過意不去喔!

我的密碼夠「強」嗎?

生出了密碼以後,當然要來驗驗看這組密碼到底會不會太容易被破解啦!這時候只要到微軟提供的「密碼強度檢測器」,將你的密碼輸入在[Password]欄位以後,密碼的強度就會顯示在下面了。

網站名稱:Microsoft Online Safety
網站網址https://www.microsoft.com/protect/fraud/passwords/checker.aspx?WT.mc_id=Site_Link

[全民瘋資安] 拒絕破解,密碼安全知多少 71a2c190a5d1

等級共有以下幾種:

  • Weak
    這表示你的密碼太了,非常容易被猜到。如果被暴力破解的話,這個等級的密碼大概是被秒殺的那個 = =
  • Medium
    密碼強度等級中等,比前一個等級難猜一些,基本上如果密碼字元組合太過簡單的話都會在這個等級。
  • Strong
    密碼強度等級,到了這個等級時,人為的是幾乎不可能猜到你的密碼,若是使用電腦暴力破解的話也已經是一件挺花時間的事情了。建議最好讓自己的密碼到達這個等級(使用中文輸入法方式產生的密碼要到這個等級還滿簡單的)
  • Best
    密碼等級最佳,到了這個等級,有心人士很難透過各種方法在各種資訊安全機制下破解您的密碼。如果想要到達這個等級的話,試著在密碼中加上一些符號如:@^%$等等。

小結

在這篇文章中,大家應該知道要如何產生好記又難猜的密碼了。不過還是要特別提醒大家要定期更換密碼,否則同一組密碼用久了,還是有機會被人猜到的喔!!

在下一篇文章中,我們將介紹目前最新的密碼技術「OTP動態密碼」,請大家拭目以待~

[全民瘋資安] 拒絕破解,密碼安全知多少 4250749

相關文章/報導
手哥 HANDBRO
手哥 HANDBRO
硬是要學共同創辦人兼職打雜編輯,熱愛網路、熱愛 3C!腦袋是個不定時炸彈,隨時會炸出新玩意兒!如有開箱、評測或各種合作需求,請洽:contact@soft4fun.net。 YouTube 頻道:手哥科科
1個評論

留下一個評論

請輸入你的評論!
請在這裡輸入你的名字

網站搜尋
看更多新聞
我們的頻道
- 廣告 -
分享給朋友