確保帳戶安全，定期變更密碼省不得～＠ChestNut’s Cake

2011-05-24 10:24:25| 人氣3,694| 回應2 | 上一篇 | 下一篇

確保帳戶安全，定期變更密碼省不得～

一、為什麼需要定期變更密碼

隨著越來越多的服務開始「雲端」化，我們常需要透過帳號及密碼的認證機制來登入網路的服務之中，像是電子郵件、網路銀行、網路購物…等，不過許多人為了貪圖方便，常會使用簡單好記的密碼，例如生日、電話、證件號碼…。

但是隨著網路頻寬的加大，有些不肖人士開始使用一些木馬或蠕蟲騙取你的密碼，或透過暴力破解的方式來不斷嘗試破解，因此常常會聽到有人帳號被盜用的情況發生。帳號一旦被他人盜用後，輕者個人資料外洩，嚴重的話還有可能被別人拿去在拍賣網站上販賣假商品，讓你背黑鍋吃官司，因此不得不小心。

即使密碼的強度不夠，我們還是可以透過建立定期變更密碼的習慣，讓密碼被破解或盜用的可能性降低，雖然麻煩了一點，跟帳號被盜用之後造成的損失比較起來，多付出點心思設定一組安全的密碼是相當值得的。

Brute force(暴力破解法)，是一種能將所有的排列組合來測試攻擊的一種破解方法。比如說你用5個數字當作密碼，暴力破解法就使用10的5次方(10萬)種組合來嘗試破解，直到破解為止。

二、多久要更換一次密碼？

一般來說變更密碼的間隔時間並沒有一定的規範，要看該密碼使用的用途而定。如果是設計有防暴力破解的網站登入系統（例如需輸入圖片認證碼、錯誤幾次後鎖住帳號…），大約兩三個月更換一次就可以了。如果是沒有防暴力破解機制的網站，更新密碼的頻率就要頻繁一點，可能數週到一個月就必須更新一次。

如果你的密碼是用在較重要或機密的用途，則密碼的變更頻率當然要更高，才能更有效確保該帳號的安全性。

三、要怎麼設定密碼較安全?

密碼的設定其實沒有一定的準則，基本上只要是長度越長，複雜度越高就越安全，所以設定密碼時最好是選用大小寫英文字母、數字、及符號混合而成的密碼是最難破解的，如果使用一般的數字、或是字典中會出現的英文單字，則相當容易被他人以暴力破解法來破解。

另外當我們在輸入或設定密碼時，為了避免被他人以惡意的鍵盤側錄軟體竊取你的帳號及密碼（尤其是在外面的公用電腦），可以開啟Windows內建的「螢幕小鍵盤」，透過滑鼠點擊配合鍵盤輸入的方式防止密碼被輕易竊取。「螢幕小鍵盤」執行的方式相當簡單，只要按下Windows的〔開始〕按鈕→選擇【執行】（或直接按鍵盤的〔Windows鍵〕＋〔R〕），輸入 osk 再按下〔Enter〕就會出現螢幕小鍵盤視窗了。

四、產生高安全性的密碼：

要如何產生一組高強度的密碼呢？你可以試試看 http://randomkeygen.com/ 這個線上密碼產生器。

這個網站提供了多種強度的隨機密碼，從一般英數字混合的標準密碼，到混合符號的高強度密碼，甚至是多達30個字元的超高強度密碼，只要按下〔F5〕重新整理一次網頁，就會出現不同的密碼組合。

如果你覺得這個網站產生出來的密碼很難記，那可以試試看另一個http://strongpasswordgenerator.com/ 線上密碼產生器。你可以自己選擇要產生幾個字元的密碼，並勾選是否要包含符號，按下〔Generate password〕就可以產生一組隨機密碼了。

產生出來的密碼下面還會顯示容易記憶的口訣，例如gDh7Feh就可以記成：「google DISNEY harry 7 FIREFOX elvis harry」，是不是比較容易記住呢？

五、建立自己的密碼卡

如果你嫌密碼都是又臭又長的英數字跟符號太難背，可以試試看阿正老師推薦的這個密碼卡產生器的網站：http://www.passwordcard.org/zh

連上該網站後，右邊的「序號」欄位中會隨機產生一組8個bytes(16個進位的數字)數值的序號，你可以自由修改這個序號產生不同的密碼卡，但請務必將序號記起來（抄在紙上也沒關係，因為別人知道了也沒用），然後用印表機（最好是彩色的）將這個網頁列印下來，再把畫面右下角的密碼卡剪下來，放在你的皮夾中（大小剛好是一張信用卡或證件的大小，最好能護貝起來）。

從該密碼卡中隨機挑選一個好記的顏色跟符號(顏色是縱座標、符號為橫座標)當成起點，再選擇一個閱讀的方向（可以是右→左、左→右，上→下，下→上，甚至是斜向）及密碼的長度（最好8碼以上）來挑選出密碼，等到下次要更換密碼時，再依照自己設定的規格跳到下一欄或列來找出新的密碼就可以了，不但安全而且密碼的強度也夠，即使別人偷到了你的密碼卡，也無法得知你的密碼藏在哪。