密碼那麼多怎麼記得起來? 一篇文章教大家如何管理自己的複雜密碼。
.jpeg)
一、 為什麼設定安全密碼如此重要?
資安管理首要保護的就是機密性(Confidentiality)。若您的帳戶被駭客入侵導致個人資訊外洩,不但可能造成隱私不保、財務損失,甚至公司機密資料也被竊取。幾年前有一位國外記者因為在 Apple、Amazon 和 Google 帳戶上使用相同的簡單密碼,結果導致個資外洩,連綁定的信箱都被駭客更改,最終損失難以估計,對生活帶來之困擾更使他痛苦不堪。所以,本篇文章就是要教導同仁正確的密碼管理知識與技巧,讓大家可以在資訊發達的時代,也能自由自在地使用各種服務。
二、破解人們常見的密碼管理迷思:
 |
| 圖:坊間真的有在賣的 密碼記事簿 |
●迷思一:(╳)把密碼寫起來就不怕被盜了。
對於電腦、手機不熟悉的同仁,可能一直都會覺得寫下來的東西比較實在。就算密碼帳本被偷了,寫一些只有自己看得懂的文字,也可以得到必要的保護效果。這樣的想法只對了一半。問題主要會發生在「資訊的可用性(Availability)」上 ——即:隨時要用時是否可以馬上取得? 另外,只存在一個地方也是另一個問題。因為手寫的只有一份,掉了之後是否可能造成生活上無法承受的衝擊?? 若維護好幾份密碼本,萬一定期要更改密碼,是否會很辛苦? 這些都是手寫密碼必須克服的挑戰。
當然,若您可以輕鬆面對這樣的困擾,那麼這可能是適合您的管理方法。但建議您仍然必須要隨時留意失去它可能造成的風險,例如:出差時不要忘記帶著本子。
●迷思二:(╳)使用瀏覽器內建的自動儲存密碼功能很安全。
事實上,瀏覽器只提供簡單的密碼儲存功能,開發商通常都並沒有足夠的資源去設計強大的資安防護機制。例如:如果您的電腦遺失或被盜,硬碟又沒設定加密,任何人取得本機權限登入電腦系統後,都可以存取您的帳密。而且,全世界的駭客無時無刻在想著如何破解這些知名的瀏覽器軟體,所以,將密碼存在瀏覽器真的不是個好點子。
以Google的Chrome瀏覽器為例,使用者的帳號及密碼表單,就藏在Chrome瀏覽器的進階設定,只要對著帳號點選「顯示」,用戶密碼將赤裸呈現。不僅電腦借給他人有洩漏密碼的危機,向別人借用電腦也必須擔心自己的資料在瀏覽器留下痕跡。
要避免密碼外洩,由習慣做起。首先進入Chrome的設定取消自動填入密碼,登出Google Chrome,並且在下次瀏覽器出現「記住密碼」的提示時選擇拒絕;借用他人電腦時避免登入Google Chrome,或者記得刪除瀏覽器的密碼資料。
許多公司同仁使用微軟的Edge瀏覽器,概念也是一樣的。在個人檔案 ->"密碼"設定裡,將"主動提議儲存密碼" 及"檢視並自動填入密碼和金鑰"等選項都關閉,即可停用瀏覽器自填密碼的所有功能。
●迷思三:(╳)透過「忘記密碼」重設密碼就可以了。
「忘記密碼」功能的安全性取決於網站服務的設計。許多網站會將重設密碼的連結寄送到您的電子郵件信箱。但如果您的信箱已被駭客入侵,或是當時註冊的email信箱早已無法使用(如:前公司的信箱),那麼重設密碼的功能就形同虛設。所以,好好管理自己的密碼才是實務的作法。
●迷思四:(╳)使用密碼管理工具很麻煩。
目前市面上已經有許多專門管理密碼的軟體服務,但它們都有不小的學習門檻(例如: 可能要學習一下「二次驗證」的概念),對科技不熟悉的人來說,需要花些時間成本去了解與熟悉。雖然如此,使用密碼管理工具的確是可以大幅減少密碼管理的負擔的,因為您只需要記住一組「主密碼」,就能夠輕鬆地管理其他所有帳戶的複雜密碼,再加上多數的密碼工具都會收取管理費用,因此,各家品牌廠商都無不花心思在增加使用上的簡便性。
密碼管理工具使用了目前最新且最安全的雲端加密技術來管理您的密碼,它們還提供跨平台自動填入、查詢等貼心服務,亦可協助幫您產生難以破解的密碼並自動記錄。據統計,只要密碼字元超過 18 字,被破解的機率就非常低。而18個字的密碼,是不可能靠人腦來記憶與管理的。所以,若是熟悉了這些工具,就可以不用再煩腦如何記住密碼。有興趣的同仁們,不妨可以上網或是找Youtube影片學習一下如何使用。
三、 如何輕鬆設定安全又好記的密碼?
若不想花錢,又沒時間學習新工具,有沒有一些設定安全密碼的技巧呢? 其實密碼最終都是人類在使用,因此只要自己覺得好用,就可以達到目的。以下我們就提供一些簡單的範例,來教大家如何簡易地管理密碼:
1. 使用「密碼短語」:
密碼短語是由多個單字組成的密碼,例如:「vampire-crow-otaku」。這種密碼容易記憶,同時也難以被破解。我國網民還發明使用注音輸入法的編碼當做密碼,對外國人來說非常不好猜,雖然AI盛行的世代,這樣的優勢應該會漸漸消失,但只要是自己才知道的短語,被猜中的機率真的是微乎其微的。這個方法比較麻煩的是,若要定期變更密碼的話該怎麼辦? 因此,若可以結合下面所介紹的「自設密碼規則」,就可無往不利了。
2. 使用自設的密碼規則:這是最便宜經濟的做法。您可以設定自己的密碼規則,例如:使用網站名稱或品牌名稱作為「密碼基礎字(小寫)」,再加上其他要素:如公司縮寫(大寫)、生日、姓名、特殊符號等。
範例1:
○網站:Instagram ,密碼基礎字(小寫): instagram
○公司縮寫(大寫):META
○規則:公司名稱縮寫 + 生日年份 + 密碼基礎字前四個字母 + 特殊符號(例如:@)+密碼基礎字後四個字母反轉 + 月分簡寫(用於定期更新密碼)
密碼即為: META1971inst@margoct (生日年份為 1971,現在是10月)
如此即可針對不同網站設定不同的密碼。即使使用同樣的密碼規則,也可確保每個網站、每個月份的密碼都不一樣。
以下我們再以公司的系統為例:
範例2:
○網站:eform ,密碼基礎字(小寫): eform
○公司縮寫:LY
○規則:公司名稱縮寫 + 生日年份 + 密碼基礎字前四個字母 + 特殊符號(例如:@)+密碼基礎字後四個字母反轉 + 月分簡寫(用於定期更新密碼)
.jpeg) |
| 圖:密碼規則中,可以加入許多 只有你才知道的數字。 |
密碼即為: LY1971efor@mrofoct (生日年份為 1971,現在是10月)
由上述的範例可見,其實只要花點心思,就可以輕鬆建立屬於自己的專用密碼。然而上面只是舉例,大家可以在規則中加入只有自己才知道的秘密(例如: 與初戀女友分手的日子),這樣設計的規則,再厲害的AI,它根本沒參與過你的人生,所以幾乎不可能猜出您的密碼。
四、若想花錢訂閱密碼管理工具服務,請選擇適合您的密碼管理工具:
如上所述,市面上有許多密碼管理軟體,例如:1password、Bitwarden、keepass 和 lastpass ...等等。選擇密碼管理軟體時,建議您考慮以下因素:
●安全性: 使用密碼管理工具,等於是把自己的密碼交給別人管理。因此,選擇定期更新、經過資訊安全專家驗證,並且具備完善資安功能的軟體,是非常重要的。有些産品會公開程式原始碼,讓全世界的人們都可以針對這個産品設計提出質疑,若程式有資安漏洞,也會很快就被處理,這些都可以在原始碼平台記載的問題處理紀錄中查看得到,
與其他未公開原始碼的産品相較起來,産品資訊相對透明,安全性也較能經歷考驗,可以做為大家評估的參考。
 |
| 某家密碼管理工具的開放原始碼平台網頁 |
●易用性:
選擇介面簡潔易懂,並且容易操作的軟體,最好是有中文界面與說明,這樣可以較安心地學習所有功能,確保密碼管理的效率與穩定。
●跨平台支援:
選擇能夠在您常用的裝置上使用的軟體,包含行動裝置。
五、 其他密碼管理應注意的事項:
●定期更改密碼:
請記得定期更改密碼,例如:每三個月或每半年更改一次。
●注意社交工程攻擊:
駭客可能會利用社交工程技巧騙取您的密碼,例如:假冒成客服人員或同事,要求您提供登入資訊、甚至假冒雲端服務公司來信要求緊急重設帳號密碼(不然就會遇到嚴重後果),實際上卻導引您連至假的網頁去登入,以便騙取您的資料,這些都是標準的社交工程的釣魚信件樣態,請務必提高警覺,不要輕易上當受騙,而洩露了您的密碼。
密碼安全是保護個人和公司資訊安全的關鍵,也是每個人應該學會的責任與工作技巧。設定強健的密碼,並注意避免社交工程攻擊的引誘,相信每個人都可以有效降低密碼被盜用的機率,輕鬆享受現代數位世界的所有便利。
延伸閱讀:
留言
張貼留言