資安防疫包:升級你的密碼(上)

根據美國資安產品公司 Digital Guardian 在2017 年針對一千名網友的調查,超過7成的人持有10個以上須設密碼的帳戶,而其中又有近三成表示「擁有太多帳戶數不出來。」到底密碼該怎麼設,又該怎麼保護及管理呢?

資安概念持續進化中

根據詐騙偵測公司CSID在2012年所做的調查,有超過6成的人會重複使用密碼,也就是多個帳戶是同組密碼,但卻有超過8成的人覺得自己的帳戶十分安全,而在密碼強度方面,超過6成的人設定強度低 (weak) 的密碼。

再觀察到Digital Guardian在2017年的調查,已經有7成的 人至少一年會換一次密碼,且有超過一半的受試者知道要用較複雜的密碼保護自己的個資。有將近 2/3 的人表示,在創建帳戶時,會先考慮設定密碼的安全性而非方便程度。

 

資安工程師來解惑

Q1有人知道我的密碼嗎?

登入帳密時,是否曾經懷疑電腦的另一端有人知道你的密碼呢? 基本上,如果網站使用不安全的密碼儲存方法,管理方有可能會知道用戶的密碼;但如果網站使用安全的密碼儲存方法,從運算後的數值非常難推回原密碼,就算駭客入侵或管理方都很難知道實際密碼是什麼。

至於自己的密碼有沒有加密,可以用一個小方法測試,在登入時按下「忘記密碼」,如果這時註冊信箱中收到了原始帳號密碼,便代表該網站的密碼沒有加密,管理方的確知道你的密碼喔。

Q2我的密碼真的可以被破解嗎?

一般來說,不安全的密碼儲存方式比較容易破解,但安全的密碼儲存方式還是有可能被暴力破解,也就是嘗試所有可能的密碼,一個一個猜,因此密碼長度跟複雜度會影響被破解的可能性,比方說 test123 和 jI32k7au4.a83Pc3dj4, 這兩個密碼的複雜度就差很多,後者便比較不容易被破解,這就是設定強度高的密碼的重要性。

Q3接到詐騙電話是因為密碼被破解,個資外流嗎?

雖然剛剛我們提到,密碼的確有可能被破解,但個資外流除了因為密碼被破解外,也可能是該網站被駭,導致交易內容被盜。另個常見的情況是,同樣的帳密在A網站被破解後,拿到B網站登入。

臉書執行長祖克柏的 Twitter 和 Pinterest 帳號便曾被駭客入侵,令人意外的是,祖克柏的密碼是強度超低的「dadada」,且駭客是先竊取了職業社群 LinkedIn 的資訊,而祖克柏的帳密也跟其他人的帳密一同 被放在黑市上交易,表示祖克柏將一組密碼用於多個帳戶,從今天開始改掉一個帳密登入多個網站的壞習慣吧。


參考資料:Digital Guardian、教育部、LogMeIn: LastPass Survey Ebook V8、我的密碼沒加密

編輯/馬婉娟、王妍筑

收錄於英語島 2020年4月號

訂閱雜誌

專欄最新文章