電腦裝置小技巧 (Computer Tips & Tricks)

老貓完整教你「密碼」怎麼設定最安全!好記又不容易被駭客破解

近期老貓在許多課程分享電腦相關題材時,都會講到密碼資訊安全(資安)方面的議題,才發現很多人對於密碼設定都有很嚴重的錯誤,缺乏安全性。現代人手上都有許多不同網站、程式等在安全上都會要求帳號、密碼登入,例如Facebook、Instagram、Twitter等社群網站、銀行、論壇、購物商城等會員系統,或者是公司的信箱、NAS資訊服務、遠端電腦、個人電腦登入等。以上這些的密碼控管起來真的很麻煩,但也千萬不要全部設定相同密碼,不然當一個洩露了就全部都被知道了。老貓分享許多想法協助各位設定密碼,降低被入侵的風險。

先了解駭客是如何入侵得知我們的帳號密碼

正所謂「知彼知己者,百戰不殆」,要提高我們密碼的安全性,就要簡單理解一下惡意的駭客是如何得知我們的密碼。絕大多數的資安問題,其實都是來自於使用者的無知、粗心、沒注意的情形下洩露出去,或者採用太簡單的密碼所導致。

  • 使用最常見的密碼先嘗試
    123456、123456789、000000、11111111、password、qwerty等類型,都是屬於太常見的密碼。通常這些都會是在嘗試時,最會拿來測試的密碼。如果設定很簡單,那可能試幾次就能入侵成功。
  • 使用常用字典進行測試
    這與上一個方式相近,只是駭客會整理一份許多人常用的密碼字典,會一組一組進行登入測試。如果你設定的是大家常用,或者常會思考到的密碼,就有可能被入侵。
  • 土砲暴力破解
    就是從零開始跑任何的可能性,一筆一筆測試看是否吻合。在破解過程中,會決定密碼位數,以及是否採用小寫英文、大小英文、特殊符號等字元,這些會影響到運算測試的結果數量,當然還有破解登入的時間。此項最為費工以及消耗更多資源,但也容易被發現
  • 第三方假網站誘騙個資
    發送App訊息、Email,或者在網站上提供假表格,用抽獎、仿冒網站等方式,吸引使用者自己填上帳號、密碼等個資,或者只要點下連結都能讀取到使用者的資訊。如此一來,不用破解,就能直接拿到使用者的登入相關資料。題外話,近期也有以恐嚇信方式,讓使用者以為駭客擁有個資,要求使用者付費解決,但這些都是屬於亂槍打鳥的方式,願者上勾。

以上的狀況可能還是屬於撒網,還沒有針對特定對象來進行密碼登入測試。通常只要是有部分人疏忽了,才有可能被入侵。但如果已經有帳號被盯上的話,可能就沒這麼簡單。在針對特定帳號時,可能手中也握有相關的個資

  • 使用與帳號相同的密碼測試
    有部分使用者習慣將帳號設定與密碼相同,雖然好記但更容易被破解。
  • 使用個資相關資料排列組合
    當有拿到使用者的生日、身分證字號、英文姓名、公司名稱、電話/手機號碼時,可能會以排列組合方式進行登入測試。如你是使用這些資料來設定密碼,連排列組合都沒有,那就要更加小心。
  • 全部都採用相同的密碼
    當駭客已成功破解一項服務的帳號密碼時,通常也會開始嘗試其他網站、APP等任何服務。因此,如果全部都是採用相同密碼時,當有一個被知道、破解後,其他的密碼就完全沒有秘密。

對於足夠的安全性的網站密碼儲存方式,會將使用者的密碼進行特殊演算法來進行編碼轉換儲存,當下一次使用者在輸入密碼驗證時,會再即時進行編碼轉換後再與資料庫核對。只要2筆編碼出來的內容相同,代表使用者是輸入正確的密碼。以白話來說,假設原始密碼為「123456」,但透過廠商的演算法得出結果為「qwertywasd」,此時儲存在資料庫是「qwertywasd」,不會是原始密碼「123456」。通常透過廠商演算法推算出來的碼都是獨一無二,因此只要比對不相符就是輸入錯的密碼,相同就是對的。而且,在演算過程中無法反推為原有密碼,這種的方式最為安全。

但有些較為簡易的網站,會始採用「明碼」保存,也就是會將使用者的密碼,完整儲存在資料庫內。因此,當該服務網站被駭客入侵攻擊而外流檔案的話,就是會拿到準確的帳號、密碼等資訊。但若是安全性高的服務網站,頂多外洩只有Email、電話等相關個資,至少沒有密碼。若是習慣使用相同密碼的話,萬一遇到這種情形,損失就很難估計。

若要快速了解自己使用的服務網站是否為明碼儲存,可以透過忘記密碼的服務來快速檢查,如果會將使用者原始的密碼原封不動提醒告知,這通常都是以明碼來儲存。但若只是因為無法了解使用者的真正密碼為何,只能提供連結請使用者重新再設定的話,通常安全性較高。這些算是「簡易」的判斷,但在實際上仍有可能有其他問題養成良好的密碼設定習慣才是最為重要

設定密碼7不原則

在現代社會來說,要如果降低家裡被入侵的機率,最簡單的方式就是將安全性做的比隔壁多位鄰居更好。讓小偷竊賊來的時候,評估發現要入侵這戶人家十分困難,最後放棄轉向其他鄰居行竊。雖然這樣對鄰居不好意思,但在安全性的維護上確是如此。除非已經被盯上,否則對於小偷竊賊來說都是「先挑簡單的下手」。剛剛老貓簡單分享對於惡意的駭客的常見手法,當然以現在技術更強大來說,還有更多方式可以進行。但對於一般使用者來說,只要能知道剛所提及的那幾點並預防,就能省下大多數的惡意入侵問題。

  • 不使用設備的預設密碼
    有些設備會預設一組帳號、,千萬別因為懶惰而沒更改,因為這組帳號、密碼不只你知道,其他人也知道。
  • 不使用與帳號相同的密碼
    這個通常很容易被嘗試,千萬不要使用。
  • 不使用太常見的密碼
    不再使用123456、123456789、000000、password等密碼;或者是鍵盤上連續輸入的排列,如qwerty、asdfgh、1qaz2wsx等。
  • 不要使用常見名詞、單字
    使用字典檔破解時可能被測試出來。
  • 不使用個資相關密碼
    不使用生日、身分證字號、手機等個資資訊,有時也有可能被嘗試出來。
  • 不要全部使用數字,或全部為英文
    如果設定太簡單,在暴力破解的方式下容易就被測試出來。
  • 不使用相同的密碼
    避免當一個密碼被知道後,全部都被知道了。

設定密碼的訣竅

當了解到「設定密碼7不原則」後,接下來要正式進行設定密碼,老貓先提到一些必要的項目要達成外,可提供許多想法,希望可能讓更多使用者輕鬆就能設定出適合自己的密碼。切記,在一般密碼的破解難易度來說,只要密碼越長以及越複雜就能增加相對上會安全許多。當然,如果是自己洩露出去帳號與密碼的話,再怎麼複雜都沒有用

  • 使用越長位數的密碼
    拉長暴力破解的時間,降低惡意入侵者的意願。通常建議超過10~15位數以上,只要記得住越多位越佳。
  • 英文採用大小寫混搭
    對於習慣使用英文的密碼,可以進行英文大小寫混用,這部分可以首字大寫,或者是輪流跳著大小寫,或者是有一定的規律。例如以「iqmore」的字眼來說,可以改成「Iqmore」、「IqMoRe」、「iQmOrE」、「IQmorE」等,透過大小寫的不同就有許多種配法。
  • 加入數字
    原始的英文可能會被猜到,但如果加入數字進行排列組合,提高複雜度。雖然有提到不要加入手機、生日等資訊,但相信多數使用者都會如此設定,在此建議不見得要全部加入,可以只加入部分數字即可。例如「iqmore」、手機末6碼「123456」,就變成「iqmore123456」,但看起來有一定機率被測試出來,這部分細節建議再調整,最簡單就是「IqMoRe123456」,明顯就會複雜許多。
  • 加入特殊符號
    這部分要先確認系統支援哪一些特殊符號,比較常見為 !、@、#、$、%、^、&、_等,可以在特殊字與字或字與數字之間加入,或者看使用者自己習慣在哪一個固定位數加入,增加密碼複雜度。以剛剛的例子,混搭後就變成「IqMoRe#123456」,如果最後再加一碼就更為複雜「IqMoRe#123456@
  • 可自動轉換部分英文符號
    英文字O與數字0非常相像,對於一些接近的英文字中進行修改,也會提高破解的難度。以「mouse」來說,可以變成「m0use」,再搭配英文大小寫的差異來說可以排列組合出更多組數。
  • 可使用句子而不是單字
    因為多數人設定密碼都是習慣使用單字比較好記,但也容易被猜測出來,此時若是以句子來設定則會比較困難一些。例如「iqmore is very handsome」就可以變成「iqmoreisveryhandsome」,如果再搭配英文大小寫、轉換部分英文符號,就變得更為複雜。

進階版:不同思維增加密碼複雜度

剛剛所介紹的密碼設定,屬於最基本的密碼要求,至少有一定程度的安全性。但對於資安要求較高的網站或程式服務,都會要求定期要更換密碼,以及要求更複雜的密碼內容,甚至當發現數字包含到任何與手機、生日重疊就無法設定成功。因此,這邊老貓補充一些進階的思維,希望可以幫助到大家。

  • 可使用多個單字交差排列
    這個屬於比較進階思維,也有許多種延伸方式,主要是將多個單字交叉組合。例如「iqmore」、「keyboard」在正常組合來說可能就是「keyboardiqmore」、「iqmorekeyboard」,不過若以交叉的方式插入可以變成「kieqymbooraerd」、「ikqemyobroeard」,看似為無意義的文字,但其實是有代表意義了;或者加上大小寫來協助辨認也增加複雜度,如「kIeQyMbOoRaErd」。
  • 可加入年份或月份註記
    在加入數字的部分可能是以手機、生日或有意義的數字來加入,其實也可以加入年份,例如「20」、「2020」等來代表當前的年份註解,甚至加入月份,可以做為定期更換密碼使用。例如「iqmore%2020」、「iqmore$2021」等。
  • 可加入該服務的相關字眼
    建議不同地方所設定的密碼都要不同,但是要如何記住差異性?最簡單方式可以加上幾個字的英文註解。例如原始密碼若為「iqmore」,在Gmail上就變成「[email protected]G」,在Yahoo上變成「[email protected]Y」。以上這些中間的特殊符號,以及服務的字串英文與位置都可以隨意調整。
  • 搭配注音輸入法增加難度 (台灣專用推薦)
    對於不了解中文的使用者來說,如果我們用羅馬拼音來取代單字也是一種方式,但全球越來越人了解中文,這時我們可以再往更進階走,就是全世界只有台灣會使用的「注音輸入法」。例如「我的密碼」就便成「ji32k7au4a83」、「我愛你」就變成「ji394su3」,這些對於不懂中文的外國人來說,會完全一頭霧水。但剛剛所提到的文字就別再用了,這是目前最常見的注音密碼,也流行到國外的字典檔內了

千萬別敗在「密碼控管保存」環節上

養成最好習慣,讓不同服務都有不同密碼,雖然這樣最安全,但可能也很難記住全部。因此,有些人可能會在自己電腦內儲存密碼,或者在身邊的記事本或便利貼上手寫下密碼。但不管是電腦檔案或實體資料,萬一被被流出或者洩露,設定再複雜的密碼也功虧一簣。老貓如果說不要留下任何電子檔或在紙上寫密碼真的不切實際,不然真的很容易會忘記。因此,如果真的要留下記錄的話,可以參考以下老貓方式。這部份每個人有不同的記錄習慣,可以依自己的習慣來調整,但是如何轉為原始正確的密碼,老貓建議只要本人知道即可,這部分不要再書寫出來

  • 更改特殊符號字元
    每個人可能都有自己習慣使用的特殊符號,例如@、#、$、%等,但留存記錄時可能都以特定的符號來代替。例如原始密碼為「iqmore#cat」、「iqmore#cute」等,但記錄下來會變成「[email protected]」、「[email protected]」,此時只有自己知道要進行「@ → #」才會變成原始正確密碼。若其他人拿到原有的記錄,不知道這些要如何轉換也都沒用。
  • 更改英文大小寫、特殊英文替換的習慣
    老貓有介紹過如果運用英文大小寫,或者將英文O以數字0來代替,這時在記錄上也十分有用。假設原始的使用習慣是必定會替換數字0,以及首尾必定會大寫的人來說,在記錄上可能是留下「iqmore#cat」,但實際上可能是「Iqm0re#caT」,如果再搭配上一個更改特殊符號的話就會是「[email protected]」。
  • 針對數字進行邏輯修改
    對於加入數字的密碼來說,非常適合這種方式來進行記錄。針對每一位,或者特定位數進行處理,以加起來總合為10的方式進行記錄;也就是說「1→9、2→8、3→7、4→6、5→5、6→4、7→3、8→2、9→1、0→0」。例如當原始數字為「26」時,就針對每一位數字要增加多少會變成10來看,則會改成「84」。再舉個例,當看到「7533967」則變成為「3577143」記錄下來。如果遇到0,可能就保留0不動。再舉個例,當看到記錄為「0857」時,就想到原始密碼為「0253」。
  • 省略年份或特別註記
    老貓有分享到有些密碼背後可以加上年份、特別網站記錄做為區隔,例如2020、G、Y等符號。若自己已經有這樣的使用習慣,可以不特別記錄下來。當看到記錄密碼為「iqmore#cat」,這時就知道要自動在結尾加上2020,或者加上G、Y等特殊字。而這項會影響到整體的位數,因此當拿到記錄密碼想要回推成正確密碼時會更為複雜。只是相較下自己也可能會搞錯,找不回原有的密碼,這點要多加小心。

以上這幾種方式,主要是讓記錄的密碼與實際密碼有差異,避免記錄的密碼被洩露出去後就直接破工。至少要混著使用哪些技術,都是要看使用者習慣的方式。如果同一開始所提,對於越來越多項服務都需要不同密碼,但自己又記不住的情形下,書寫記錄下來會是各位最輕鬆的方式,但也隱藏了高風險的情形。這一個章節,算是老貓再幫各位的密碼再加上一道鎖,避免用心設定的密碼,直接被人家全部拿走。

另外,有些人會使用Google Chrome、Google服務或一鍵式管理密碼的軟體來進行控管,只是這部份只要軟體被成功開啟密碼,就有可能一次全部被洩露。很多駭客一入侵到電腦內,第一件事可能就是開啟儲存在瀏覽器內的密碼,不用去理解如何設定密碼,直接就能全部取走重要資料。因此,老貓建議這部分的安全性要再提高,或者特殊服務再開啟二階段驗證,透過手機點選同意或拿到特殊驗證碼輸入來增加安全性。如果提供的服務能提供輸入太多次錯誤密碼就能上鎖,也是一種不錯的防範,例如電腦登入方面可以參考:設定 Windows 10 密碼錯太多次就鎖住帳號,遠端桌面也適用

雖然標題是講「最安全」,但在資安上其實沒有任何方式能保證確切沒有問題,真的有心想要進攻入侵真的都有風險。只能說在我們日常的操作上,養成良好安全的使用習慣,以及設定一組安全性較高的密碼最為保險。以上為老貓對於密碼設定安全的一些相關運用整理,希望大家能讓自己的密碼更為安全,如果有什麼想法或建議,也歡迎隨時補充分享給大家。

Leave a Comment

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *

*