日前在某網站看到有網友在討論有關於「密碼安全」的問題,就有網友提出了他們公司資訊部門的做法與大家分享,而這些方法不出「定期修改密碼」、「密碼長度限制」、「限制密碼複雜度」等。但是這些條件往往都是由資訊部門「一廂情願」所想出來的花招,由於他們有著較高水平的資訊能力,所以他們也很難想像更換密碼這檔事對於一般使用者的影響是多麼大。
上有政策,下有對策
所謂「上有政策,下有對策」,接下來我們就來看看一般使用者如何去面對這些規則:
上級政策 | 下級對策 |
定期修改密碼 | 想好兩組密碼,例如一組為「AAA」,另一組為「BBB」,每到要更新的時候就是這兩組密碼交替使用。 |
密碼長度限制 | 1016不夠嗎?那我換741016! 741016不夠嗎?那我換19851016! 19851016不夠嗎?那我換0987987987! 這樣還不夠? 跑到資訊部去罵人好了! |
限制密碼複雜度 |
goodman 不行,因為只有英文,所以密碼就會變成「goodman741016」! |
上表不是我自己掰的,是確確實實有人是這樣幹的,而且我猜想數量應該還不在話下呢!資訊部門的資訊安全策略感覺上可行性非常的高,也能對密碼的安全性做更多的把關,但是到了使用者這邊,就會發現這些政策幾乎是沒有太大的效果,甚至是完全沒有效果。 因為他們只是一般使用者,不是電腦也不是高階玩家!
什麼樣子的密碼最好猜?下面再列出一般人設定密碼常用的一些資訊來源:
- 個人資料
生日、家裡電話、手機、英文名字、MSN帳號等。這些東西只要是認識的朋友或是有門路的人都是非常容易取得的資料。 - 生活周遭常碰到的字眼
公司(學校)名稱、品牌名稱、產品型號、藝人、男(女)朋友英文名也都是認識你的人能夠容易取得的資料。 - 看似難以破解但卻很容易被猜到的組合
鍵盤上的「qwerty」或「qweasdzxc」這種組合看起來沒有規則,但其實是有跡可循。
基本上,如果能夠掌握以上這三個類型的資料,再透過一些排列組合的話,猜出密碼就不是一件太難的事情。
兩難的使用者
「吼!不用上面那些的話,我哪記得住密碼啊!!」
這是使用者的怒吼,因為這樣等於叫他們不要用電腦了。那到底要怎麼樣才能產生一組又複雜、又不容易忘記的密碼啊?
「有密碼產生器啊!」 好,那我們來生個幾組看看…….
第一組:uxotaraf
第二組:awosixis
第三組:secoluby
第四組:laqulofu
第五組:cybipexo
第六組:xynaxuvu
第七組:qupifypa
如果今天換了其中一組,明天你還記得的話…就真的算你厲害了! 密碼產生器適合你用!
用中文輸入法製造密碼
其實,要產生複雜難猜的密碼不難,而且是非常非常的簡單!各位每天在打字的時候,其實就是打了一堆的密碼,有發現嗎?舉幾個例子看看就知道了:
當我輸入「密碼」的時候,其實是按下了鍵盤的「au4a83」這幾個英文數字鍵;
當我輸入「複雜密碼」的時候,其實是按下了鍵盤的「zj4y86au483」;
當我說入「追風箏的孩子」的時候,是按下了「5jo z/ 5/ k27c96y7」!
其實你想的是中文,只是當你用了熟悉的輸入法以後,產生出來的密碼複雜度都會不一樣。而且透過這樣子的密碼產生方式,要產生出「英文+數字+符號」或者「10個字元」以上的密碼基本上是不費吹灰之力的!密碼產生器?那是什麼東西? 忘了它吧~~
我的密碼安全嗎?
生出了密碼以後,當然要來驗驗看這組密碼到底會不會太容易被破解啦!這時候只要到微軟提供的「密碼強度檢測器」,將你的密碼輸入在[Password]欄位以後,密碼的強度就會顯示在下面了。等級共有以下幾種:
- Weak
這表示你的密碼太弱了,非常容易被猜到。如果被暴力破解的話,這個等級的密碼大概是被秒殺的那個 = = - Medium
密碼強度等級中等,比前一個等級難猜一些,基本上如果密碼字元組合太過簡單的話都會在這個等級。 - Strong
密碼強度等級強,到了這個等級時,人為的是幾乎不可能猜到你的密碼,若是使用電腦暴力破解的話也已經是一件挺花時間的事情了。建議最好讓自己的密碼到達這個等級(使用中文輸入法方式產生的密碼要到這個等級還滿簡單的) - Best
密碼等級最佳,到了這個等級,有心人士很難透過各種方法在各種資訊安全機制下破解您的密碼。如果想要到達這個等級的話,試著在密碼中加上一些符號如:@^%$等等。
密碼強度檢測器:https://www.microsoft.com/protect/yourself/password/checker.mspx