近期老貓在許多課程分享電腦相關題材時，都會講到密碼資訊安全(資安)方面的議題，才發現很多人對於密碼設定都有很嚴重的錯誤，缺乏安全性。現代人手上都有許多不同網站、程式等在安全上都會要求帳號、密碼登入，例如facebook、instagram、Twitter等社群網站、銀行、論壇、購物商城等會員系統，或者是公司的信箱、NAS資訊服務、遠端電腦、個人電腦登入等。以上這些的密碼控管起來真的很麻煩，但也千萬不要全部設定相同密碼，不然當一個洩露了就全部都被知道了。老貓分享許多想法協助各位設定密碼，降低被入侵的風險。

先了解駭客是如何入侵得知我們的帳號密碼

正所謂「知彼知己者，百戰不殆」，要提高我們密碼的安全性，就要簡單理解一下惡意的駭客是如何得知我們的密碼。絕大多數的資安問題，其實都是來自於使用者的無知、粗心、沒注意的情形下洩露出去，或者採用太簡單的密碼所導致。

• 使用最常見的密碼先嘗試
  123456、123456789、000000、11111111、password、qwerty等類型，都是屬於太常見的密碼。通常這些都會是在嘗試時，最會拿來測試的密碼。如果設定很簡單，那可能試幾次就能入侵成功。
• 使用常用字典進行測試
  這與上一個方式相近，只是駭客會整理一份許多人常用的密碼字典，會一組一組進行登入測試。如果你設定的是大家常用，或者常會思考到的密碼，就有可能被入侵。
• 土砲暴力破解
  就是從零開始跑任何的可能性，一筆一筆測試看是否吻合。在破解過程中，會決定密碼位數，以及是否採用小寫英文、大小英文、特殊符號等字元，這些會影響到運算測試的結果數量，當然還有破解登入的時間。此項最為費工以及消耗更多資源，但也容易被發現
• 第三方假網站誘騙個資
  發送App訊息、Email，或者在網站上提供假表格，用抽獎、仿冒網站等方式，吸引使用者自己填上帳號、密碼等個資，或者只要點下連結都能讀取到使用者的資訊。如此一來，不用破解，就能直接拿到使用者的登入相關資料。題外話，近期也有以恐嚇信方式，讓使用者以為駭客擁有個資，要求使用者付費解決，但這些都是屬於亂槍打鳥的方式，願者上勾。

以上的狀況可能還是屬於撒網，還沒有針對特定對象來進行密碼登入測試。通常只要是有部分人疏忽了，才有可能被入侵。但如果已經有帳號被盯上的話，可能就沒這麼簡單。在針對特定帳號時，可能手中也握有相關的個資

• 使用與帳號相同的密碼測試
  有部分使用者習慣將帳號設定與密碼相同，雖然好記但更容易被破解。
• 使用個資相關資料排列組合
  當有拿到使用者的生日、身分證字號、英文姓名、公司名稱、電話/手機號碼時，可能會以排列組合方式進行登入測試。如你是使用這些資料來設定密碼，連排列組合都沒有，那就要更加小心。
• 全部都採用相同的密碼
  當駭客已成功破解一項服務的帳號密碼時，通常也會開始嘗試其他網站、APP等任何服務。因此，如果全部都是採用相同密碼時，當有一個被知道、破解後，其他的密碼就完全沒有秘密。

對於足夠的安全性的網站密碼儲存方式，會將使用者的密碼進行特殊演算法來進行編碼轉換儲存，當下一次使用者在輸入密碼驗證時，會再即時進行編碼轉換後再與資料庫核對。只要2筆編碼出來的內容相同，代表使用者是輸入正確的密碼。以白話來說，假設原始密碼為「123456」，但透過廠商的演算法得出結果為「qwertywasd」，此時儲存在資料庫是「qwertywasd」，不會是原始密碼「123456」。通常透過廠商演算法推算出來的碼都是獨一無二，因此只要比對不相符就是輸入錯的密碼，相同就是對的。而且，在演算過程中無法反推為原有密碼，這種的方式最為安全。

但有些較為簡易的網站，會始採用「明碼」保存，也就是會將使用者的密碼，完整儲存在資料庫內。因此，當該服務網站被駭客入侵攻擊而外流檔案的話，就是會拿到準確的帳號、密碼等資訊。但若是安全性高的服務網站，頂多外洩只有Email、電話等相關個資，至少沒有密碼。若是習慣使用相同密碼的話，萬一遇到這種情形，損失就很難估計。

若要快速了解自己使用的服務網站是否為明碼儲存，可以透過忘記密碼的服務來快速檢查，如果會將使用者原始的密碼原封不動提醒告知，這通常都是以明碼來儲存。但若只是因為無法了解使用者的真正密碼為何，只能提供連結請使用者重新再設定的話，通常安全性較高。這些算是「簡易」的判斷，但在實際上仍有可能有其他問題，養成良好的密碼設定習慣才是最為重要。

設定密碼7不原則

在現代社會來說，要如果降低家裡被入侵的機率，最簡單的方式就是將安全性做的比隔壁多位鄰居更好。讓小偷竊賊來的時候，評估發現要入侵這戶人家十分困難，最後放棄轉向其他鄰居行竊。雖然這樣對鄰居不好意思，但在安全性的維護上確是如此。除非已經被盯上，否則對於小偷竊賊來說都是「先挑簡單的下手」。剛剛老貓簡單分享對於惡意的駭客的常見手法，當然以現在技術更強大來說，還有更多方式可以進行。但對於一般使用者來說，只要能知道剛所提及的那幾點並預防，就能省下大多數的惡意入侵問題。

• 不使用設備的預設密碼
  有些設備會預設一組帳號、密碼，千萬別因為懶惰而沒更改，因為這組帳號、密碼不只你知道，其他人也知道。
• 不使用與帳號相同的密碼
  這個通常很容易被嘗試，千萬不要使用。
• 不使用太常見的密碼
  不再使用123456、123456789、000000、password等密碼；或者是鍵盤上連續輸入的排列，如qwerty、asdfgh、1qaz2wsx等。
• 不要使用常見名詞、單字
  使用字典檔破解時可能被測試出來。
• 不使用個資相關密碼
  不使用生日、身分證字號、手機等個資資訊，有時也有可能被嘗試出來。
• 不要全部使用數字，或全部為英文
  如果設定太簡單，在暴力破解的方式下容易就被測試出來。
• 不使用相同的密碼
  避免當一個密碼被知道後，全部都被知道了。

設定密碼的訣竅

當了解到「設定密碼7不原則」後，接下來要正式進行設定密碼，老貓先提到一些必要的項目要達成外，可提供許多想法，希望可能讓更多使用者輕鬆就能設定出適合自己的密碼。切記，在一般密碼的破解難易度來說，只要密碼越長以及越複雜就能增加相對上會安全許多。當然，如果是自己洩露出去帳號與密碼的話，再怎麼複雜都沒有用。

• 使用越長位數的密碼
  拉長暴力破解的時間，降低惡意入侵者的意願。通常建議超過10~15位數以上，只要記得住越多位越佳。
• 英文採用大小寫混搭
  對於習慣使用英文的密碼，可以進行英文大小寫混用，這部分可以首字大寫，或者是輪流跳著大小寫，或者是有一定的規律。例如以「iqmore」的字眼來說，可以改成「Iqmore」、「IqMoRe」、「iQmOrE」、「IQmorE」等，透過大小寫的不同就有許多種配法。
• 加入數字
  原始的英文可能會被猜到，但如果加入數字進行排列組合，提高複雜度。雖然有提到不要加入手機、生日等資訊，但相信多數使用者都會如此設定，在此建議不見得要全部加入，可以只加入部分數字即可。例如「iqmore」、手機末6碼「123456」，就變成「iqmore123456」，但看起來有一定機率被測試出來，這部分細節建議再調整，最簡單就是「IqMoRe123456」，明顯就會複雜許多。
• 加入特殊符號
  這部分要先確認系統支援哪一些特殊符號，比較常見為 !、@、#、$、%、^、&、_等，可以在特殊字與字或字與數字之間加入，或者看使用者自己習慣在哪一個固定位數加入，增加密碼複雜度。以剛剛的例子，混搭後就變成「IqMoRe#123456」，如果最後再加一碼就更為複雜「IqMoRe#123456@」
• 可自動轉換部分英文符號
  英文字O與數字0非常相像，對於一些接近的英文字中進行修改，也會提高破解的難度。以「mouse」來說，可以變成「m0use」，再搭配英文大小寫的差異來說可以排列組合出更多組數。
• 可使用句子而不是單字
  因為多數人設定密碼都是習慣使用單字比較好記，但也容易被猜測出來，此時若是以句子來設定則會比較困難一些。例如「iqmore is very handsome」就可以變成「iqmoreisveryhandsome」，如果再搭配英文大小寫、轉換部分英文符號，就變得更為複雜。

進階版：不同思維增加密碼複雜度

剛剛所介紹的密碼設定，屬於最基本的密碼要求，至少有一定程度的安全性。但對於資安要求較高的網站或程式服務，都會要求定期要更換密碼，以及要求更複雜的密碼內容，甚至當發現數字包含到任何與手機、生日重疊就無法設定成功。因此，這邊老貓補充一些進階的思維，希望可以幫助到大家。

• 可使用多個單字交差排列
  這個屬於比較進階思維，也有許多種延伸方式，主要是將多個單字交叉組合。例如「iqmore」、「keyboard」在正常組合來說可能就是「keyboardiqmore」、「iqmorekeyboard」，不過若以交叉的方式插入可以變成「kieqymbooraerd」、「ikqemyobroeard」，看似為無意義的文字，但其實是有代表意義了；或者加上大小寫來協助辨認也增加複雜度，如「kIeQyMbOoRaErd」。
• 可加入年份或月份註記
  在加入數字的部分可能是以手機、生日或有意義的數字來加入，其實也可以加入年份，例如「20」、「2020」等來代表當前的年份註解，甚至加入月份，可以做為定期更換密碼使用。例如「iqmore%2020」、「iqmore$2021」等。
• 可加入該服務的相關字眼
  建議不同地方所設定的密碼都要不同，但是要如何記住差異性？最簡單方式可以加上幾個字的英文註解。例如原始密碼若為「iqmore」，在gmail上就變成「iqmore@G」，在yahoo上變成「iqmore@Y」。以上這些中間的特殊符號，以及服務的字串英文與位置都可以隨意調整。
• 搭配注音輸入法增加難度 (台灣專用推薦)
  對於不了解中文的使用者來說，如果我們用羅馬拼音來取代單字也是一種方式，但全球越來越人了解中文，這時我們可以再往更進階走，就是全世界只有台灣會使用的「注音輸入法」。例如「我的密碼」就便成「ji32k7au4a83」、「我愛你」就變成「ji394su3」，這些對於不懂中文的外國人來說，會完全一頭霧水。但剛剛所提到的文字就別再用了，這是目前最常見的注音密碼，也流行到國外的字典檔內了。

千萬別敗在「密碼控管保存」環節上

當養成最好習慣，讓不同服務都有不同密碼，雖然這樣最安全，但可能也很難記住全部。因此，有些人可能會在自己電腦內儲存密碼，或者在身邊的記事本或便利貼上手寫下密碼。但不管是電腦檔案或實體資料，萬一被被流出或者洩露，設定再複雜的密碼也功虧一簣。老貓如果說不要留下任何電子檔或在紙上寫密碼真的不切實際，不然真的很容易會忘記。因此，如果真的要留下記錄的話，可以參考以下老貓方式。這部份每個人有不同的記錄習慣，可以依自己的習慣來調整，但是如何轉為原始正確的密碼，老貓建議只要本人知道即可，這部分不要再書寫出來。

• 更改特殊符號字元
  每個人可能都有自己習慣使用的特殊符號，例如@、#、$、%等，但留存記錄時可能都以特定的符號來代替。例如原始密碼為「iqmore#cat」、「iqmore#cute」等，但記錄下來會變成「iqmore@cat」、「iqmore@cute」，此時只有自己知道要進行「@ → #」才會變成原始正確密碼。若其他人拿到原有的記錄，不知道這些要如何轉換也都沒用。
• 更改英文大小寫、特殊英文替換的習慣
  老貓有介紹過如果運用英文大小寫，或者將英文O以數字0來代替，這時在記錄上也十分有用。假設原始的使用習慣是必定會替換數字0，以及首尾必定會大寫的人來說，在記錄上可能是留下「iqmore#cat」，但實際上可能是「Iqm0re#caT」，如果再搭配上一個更改特殊符號的話就會是「Iqm0re@caT」。
• 針對數字進行邏輯修改
  對於加入數字的密碼來說，非常適合這種方式來進行記錄。針對每一位，或者特定位數進行處理，以加起來總合為10的方式進行記錄；也就是說「1→9、2→8、3→7、4→6、5→5、6→4、7→3、8→2、9→1、0→0」。例如當原始數字為「26」時，就針對每一位數字要增加多少會變成10來看，則會改成「84」。再舉個例，當看到「7533967」則變成為「3577143」記錄下來。如果遇到0，可能就保留0不動。再舉個例，當看到記錄為「0857」時，就想到原始密碼為「0253」。
• 省略年份或特別註記
  老貓有分享到有些密碼背後可以加上年份、特別網站記錄做為區隔，例如2020、G、Y等符號。若自己已經有這樣的使用習慣，可以不特別記錄下來。當看到記錄密碼為「iqmore#cat」，這時就知道要自動在結尾加上2020，或者加上G、Y等特殊字。而這項會影響到整體的位數，因此當拿到記錄密碼想要回推成正確密碼時會更為複雜。只是相較下自己也可能會搞錯，找不回原有的密碼，這點要多加小心。

以上這幾種方式，主要是讓記錄的密碼與實際密碼有差異，避免記錄的密碼被洩露出去後就直接破工。至少要混著使用哪些技術，都是要看使用者習慣的方式。如果同一開始所提，對於越來越多項服務都需要不同密碼，但自己又記不住的情形下，書寫記錄下來會是各位最輕鬆的方式，但也隱藏了高風險的情形。這一個章節，算是老貓再幫各位的密碼再加上一道鎖，避免用心設定的密碼，直接被人家全部拿走。

另外，有些人會使用Google chrome、Google服務或一鍵式管理密碼的軟體來進行控管，只是這部份只要軟體被成功開啟密碼，就有可能一次全部被洩露。很多駭客一入侵到電腦內，第一件事可能就是開啟儲存在瀏覽器內的密碼，不用去理解如何設定密碼，直接就能全部取走重要資料。因此，老貓建議這部分的安全性要再提高，或者特殊服務再開啟二階段驗證，透過手機點選同意或拿到特殊驗證碼輸入來增加安全性。如果提供的服務能提供輸入太多次錯誤密碼就能上鎖，也是一種不錯的防範，例如電腦登入方面可以參考：設定 Windows 10 密碼錯太多次就鎖住帳號，遠端桌面也適用。

雖然標題是講「最安全」，但在資安上其實沒有任何方式能保證確切沒有問題，真的有心想要進攻入侵真的都有風險。只能說在我們日常的操作上，養成良好安全的使用習慣，以及設定一組安全性較高的密碼最為保險。以上為老貓對於密碼設定安全的一些相關運用整理，希望大家能讓自己的密碼更為安全，如果有什麼想法或建議，也歡迎隨時補充分享給大家。